Virus empeche acces internet
Résolu/Fermé
tonio232
Messages postés
72
Date d'inscription
vendredi 1 avril 2011
Statut
Membre
Dernière intervention
5 novembre 2014
-
1 avril 2011 à 12:30
tonio232 Messages postés 72 Date d'inscription vendredi 1 avril 2011 Statut Membre Dernière intervention 5 novembre 2014 - 7 avril 2011 à 13:40
tonio232 Messages postés 72 Date d'inscription vendredi 1 avril 2011 Statut Membre Dernière intervention 5 novembre 2014 - 7 avril 2011 à 13:40
A voir également:
- Virus empeche acces internet
- Acces rapide - Guide
- Gps sans internet - Guide
- Aucun accès à internet - Guide
- 35 go internet équivalent en heure ✓ - Forum Mobile
- 30 Go combien de temp d’internet - Forum Mobile
37 réponses
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
5 avril 2011 à 11:10
5 avril 2011 à 11:10
Je suis passé à côté d'une montagne :))
Relance ZHPDiag et relance un scan, un fois le scan fini clique sur le bouclier vert ZHPFix.
Ensuite clique sur le H "Coller les lignes Helper"
Copie colle ces lignes dans la fenêtre
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\Program Files\quakaqgu\ybrwktml.exe
Tu cliques ensuite sur "Tous" (ou tu coches la ligne), puis sur "Nettoyer"
ZHPFix va générer un rapport, envoie le pour vérification.
-----
Téléchargez SystemLook sur le Bureau à partir d'un des liens ci-dessous.
http://jpshortstuff.247fixes.com/SystemLook.exe
ou
http://images.malwareremoval.com/jpshortstuff/SystemLook.exe
* Double-cliquer sur SystemLook.exepour le lancer.
* Clic droit|Copier sur ce qui suit , et clic droit|Coller dans la zone texte de SystemLook :
:filefind
ybrwktml.exe
* Cliquer sur le bouton Look pour démarrer l'examen.
* le Bloc-notes s'ouvrira avec le résultat de l'analyse.
Copier-coller le rapport dans la prochaine réponse.
Note : Le rapport peut aussi être trouvé sur le Bureau sous le nom SystemLook.txt
Relance ZHPDiag et relance un scan, un fois le scan fini clique sur le bouclier vert ZHPFix.
Ensuite clique sur le H "Coller les lignes Helper"
Copie colle ces lignes dans la fenêtre
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\Program Files\quakaqgu\ybrwktml.exe
Tu cliques ensuite sur "Tous" (ou tu coches la ligne), puis sur "Nettoyer"
ZHPFix va générer un rapport, envoie le pour vérification.
-----
Téléchargez SystemLook sur le Bureau à partir d'un des liens ci-dessous.
http://jpshortstuff.247fixes.com/SystemLook.exe
ou
http://images.malwareremoval.com/jpshortstuff/SystemLook.exe
* Double-cliquer sur SystemLook.exepour le lancer.
* Clic droit|Copier sur ce qui suit , et clic droit|Coller dans la zone texte de SystemLook :
:filefind
ybrwktml.exe
* Cliquer sur le bouton Look pour démarrer l'examen.
* le Bloc-notes s'ouvrira avec le résultat de l'analyse.
Copier-coller le rapport dans la prochaine réponse.
Note : Le rapport peut aussi être trouvé sur le Bureau sous le nom SystemLook.txt
tonio232
Messages postés
72
Date d'inscription
vendredi 1 avril 2011
Statut
Membre
Dernière intervention
5 novembre 2014
1
6 avril 2011 à 18:52
6 avril 2011 à 18:52
je pensais avoir ajouté un commentaire hier mais je ne le vois plus !!
j'ai un problème ! je fais un scan avec ZHPDiag et aprés je clique sur le bouclier comme tu me l'indique mais je reçois aussitôt un message d'erreur qui me dit :
ZHPFix.exe erreur d'application
L'application n'a pas réussi à s'initialisé correctement (0xc0000022). Cliquez sur OK pour arrêter l'application.
j'ai essayé plein de trucs, réinstaller ZHPDiag et ZHPFix, avec ou sans l'antivirus etc ...
mais rien n'y fait !
que puis-je faire ?
merci
Tony
j'ai un problème ! je fais un scan avec ZHPDiag et aprés je clique sur le bouclier comme tu me l'indique mais je reçois aussitôt un message d'erreur qui me dit :
ZHPFix.exe erreur d'application
L'application n'a pas réussi à s'initialisé correctement (0xc0000022). Cliquez sur OK pour arrêter l'application.
j'ai essayé plein de trucs, réinstaller ZHPDiag et ZHPFix, avec ou sans l'antivirus etc ...
mais rien n'y fait !
que puis-je faire ?
merci
Tony
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
6 avril 2011 à 19:22
6 avril 2011 à 19:22
ok va faire autrement
Télécharger sur le bureau
Hijackthis
=Double-clic dessus
= Clic Do a system scan and save the log
= copier le rapport, le coller dans la réponse
Relancer Hijack this
= "Do a system scan only"
= cocher la ligne:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\Program Files\quakaqgu\ybrwktml.exe
= cliquer sur fix checked
= Relancer Hijack pour vérifier qu'elles sont parties.
Télécharger sur le bureau
Hijackthis
=Double-clic dessus
= Clic Do a system scan and save the log
= copier le rapport, le coller dans la réponse
Relancer Hijack this
= "Do a system scan only"
= cocher la ligne:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\Program Files\quakaqgu\ybrwktml.exe
= cliquer sur fix checked
= Relancer Hijack pour vérifier qu'elles sont parties.
tonio232
Messages postés
72
Date d'inscription
vendredi 1 avril 2011
Statut
Membre
Dernière intervention
5 novembre 2014
1
6 avril 2011 à 21:20
6 avril 2011 à 21:20
Je suis désolé je suis un peu chiant mais je trouve pas les lignes que tu m'annonces, j'ai lancé ComboFix hier soir car la dernière fois ça avait fait le ménage, du coup peut être que ça a supprimé certains trucs, je sais pas !!
voici le rapport de Hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07:41, on 06/04/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AVAST Software\Avast\avastUI.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Tony Bazin\Bureau\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: Use the DivX Plus Web Player to watch web videos with less interruptions and smoother playback on supported sites - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - S-1-5-21-2993286999-286281884-1603429676-1008 Startup: ybrwktml.exe (User '?')
O4 - S-1-5-18 Startup: ybrwktml.exe (User '?')
O4 - .DEFAULT Startup: ybrwktml.exe (User 'Default user')
O4 - Startup: ybrwktml.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: MSCSPTISRV - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe (file missing)
O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe (file missing)
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe (file missing)
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe (file missing)
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
voici le rapport de Hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07:41, on 06/04/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AVAST Software\Avast\avastUI.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Tony Bazin\Bureau\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: Use the DivX Plus Web Player to watch web videos with less interruptions and smoother playback on supported sites - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - S-1-5-21-2993286999-286281884-1603429676-1008 Startup: ybrwktml.exe (User '?')
O4 - S-1-5-18 Startup: ybrwktml.exe (User '?')
O4 - .DEFAULT Startup: ybrwktml.exe (User 'Default user')
O4 - Startup: ybrwktml.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: MSCSPTISRV - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe (file missing)
O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe (file missing)
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe (file missing)
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe (file missing)
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
Modifié par Tigzy le 7/04/2011 à 09:10
Modifié par Tigzy le 7/04/2011 à 09:10
ok, recommence avec Hijack this et fixe ces lignes:
O4 - S-1-5-21-2993286999-286281884-1603429676-1008 Startup: ybrwktml.exe (User '?')
O4 - S-1-5-18 Startup: ybrwktml.exe (User '?')
O4 - .DEFAULT Startup: ybrwktml.exe (User 'Default user')
O4 - Startup: ybrwktml.exe
Vérifie qu'elles sont parties
PS: Combofix n'est pas à utiliser sans avis!
O4 - S-1-5-21-2993286999-286281884-1603429676-1008 Startup: ybrwktml.exe (User '?')
O4 - S-1-5-18 Startup: ybrwktml.exe (User '?')
O4 - .DEFAULT Startup: ybrwktml.exe (User 'Default user')
O4 - Startup: ybrwktml.exe
Vérifie qu'elles sont parties
PS: Combofix n'est pas à utiliser sans avis!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
tonio232
Messages postés
72
Date d'inscription
vendredi 1 avril 2011
Statut
Membre
Dernière intervention
5 novembre 2014
1
7 avril 2011 à 10:20
7 avril 2011 à 10:20
ok je vais arrêter mes conneries !
j'ai répété l'opération une dizaine de fois mais ces lignes suivantes refusent de partir :
O4 - S-1-5-18 Startup: ybrwktml.exe (User '?')
O4 - .DEFAULT Startup: ybrwktml.exe (User 'Default user')
merci
Tony
j'ai répété l'opération une dizaine de fois mais ces lignes suivantes refusent de partir :
O4 - S-1-5-18 Startup: ybrwktml.exe (User '?')
O4 - .DEFAULT Startup: ybrwktml.exe (User 'Default user')
merci
Tony
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
Modifié par Tigzy le 7/04/2011 à 10:22
Modifié par Tigzy le 7/04/2011 à 10:22
ok.
fait la 2nde manip ici j'en ai besoin:
https://forums.commentcamarche.net/forum/affich-21448033-virus-empeche-acces-internet?page=2#26
(SystemLook)
RIP Jaxryley....
Contributeur SECURITE *** Développeur de RogueKiller ***
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
fait la 2nde manip ici j'en ai besoin:
https://forums.commentcamarche.net/forum/affich-21448033-virus-empeche-acces-internet?page=2#26
(SystemLook)
RIP Jaxryley....
Contributeur SECURITE *** Développeur de RogueKiller ***
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
tonio232
Messages postés
72
Date d'inscription
vendredi 1 avril 2011
Statut
Membre
Dernière intervention
5 novembre 2014
1
7 avril 2011 à 11:11
7 avril 2011 à 11:11
ok voici le rapport de SystemLook :
SystemLook 04.09.10 by jpshortstuff
Log created at 10:08 on 07/04/2011 by Tony Bazin
Administrator - Elevation successful
========== filefind ==========
Searching for "ybrwktml.exe"
C:\Documents and Settings\a\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe ----s-- 158152 bytes [00:02 31/03/2011] [00:03 31/03/2011] D22C44525DACFFD850F75B082F18071E
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe ------- 158152 bytes [08:53 31/03/2011] [12:42 31/03/2011] D22C44525DACFFD850F75B082F18071E
C:\Program Files\quakaqgu\ybrwktml.exe ------- 158152 bytes [22:12 31/03/2011] [13:06 01/04/2011] D22C44525DACFFD850F75B082F18071E
C:\Program Files\RumYjUbK~ôg¨Ëybrwktml.exe\ybrwktml.exe ------- 158152 bytes [22:57 30/03/2011] [12:42 31/03/2011] D22C44525DACFFD850F75B082F18071E
C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe ----s-- 158152 bytes [09:26 31/03/2011] [13:20 31/03/2011] D22C44525DACFFD850F75B082F18071E
-= EOF =-
SystemLook 04.09.10 by jpshortstuff
Log created at 10:08 on 07/04/2011 by Tony Bazin
Administrator - Elevation successful
========== filefind ==========
Searching for "ybrwktml.exe"
C:\Documents and Settings\a\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe ----s-- 158152 bytes [00:02 31/03/2011] [00:03 31/03/2011] D22C44525DACFFD850F75B082F18071E
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe ------- 158152 bytes [08:53 31/03/2011] [12:42 31/03/2011] D22C44525DACFFD850F75B082F18071E
C:\Program Files\quakaqgu\ybrwktml.exe ------- 158152 bytes [22:12 31/03/2011] [13:06 01/04/2011] D22C44525DACFFD850F75B082F18071E
C:\Program Files\RumYjUbK~ôg¨Ëybrwktml.exe\ybrwktml.exe ------- 158152 bytes [22:57 30/03/2011] [12:42 31/03/2011] D22C44525DACFFD850F75B082F18071E
C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe ----s-- 158152 bytes [09:26 31/03/2011] [13:20 31/03/2011] D22C44525DACFFD850F75B082F18071E
-= EOF =-
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
7 avril 2011 à 11:16
7 avril 2011 à 11:16
ok, c'est un Zbot, on va tout péter :))
http://www.virustotal.com/file-scan/report.html?id=0e896aab1b9e222cdc0978f0adb780fc5acfa492314eedc1ce9250bc1bdff029-1302023271
Telecharge:
The avenger
* dezippe le , Lance le , executer en tant qu'administrateur sous vista
capture
Dans le cadre , sous Input Script here , copie_colle ce qui est en gras ci dessous et clic execute:
Files to delete:
C:\Documents and Settings\a\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe
C:\Program Files\quakaqgu\ybrwktml.exe
C:\Program Files\RumYjUbK~ôg¨Ëybrwktml.exe\ybrwktml.exe
C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe
* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
http://www.virustotal.com/file-scan/report.html?id=0e896aab1b9e222cdc0978f0adb780fc5acfa492314eedc1ce9250bc1bdff029-1302023271
Telecharge:
The avenger
* dezippe le , Lance le , executer en tant qu'administrateur sous vista
capture
Dans le cadre , sous Input Script here , copie_colle ce qui est en gras ci dessous et clic execute:
Files to delete:
C:\Documents and Settings\a\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe
C:\Program Files\quakaqgu\ybrwktml.exe
C:\Program Files\RumYjUbK~ôg¨Ëybrwktml.exe\ybrwktml.exe
C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe
* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
tonio232
Messages postés
72
Date d'inscription
vendredi 1 avril 2011
Statut
Membre
Dernière intervention
5 novembre 2014
1
7 avril 2011 à 11:40
7 avril 2011 à 11:40
c'était super rapide !!
voici le rapport de avenger :
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\Documents and Settings\a\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe" deleted successfully.
File "C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe" deleted successfully.
File "C:\Program Files\quakaqgu\ybrwktml.exe" deleted successfully.
Error: could not open file "C:\Program Files\RumYjUbK~ôg¨Ëybrwktml.exe\ybrwktml.exe"
Deletion of file "C:\Program Files\RumYjUbK~ôg¨Ëybrwktml.exe\ybrwktml.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
File "C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
voici le rapport de avenger :
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\Documents and Settings\a\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe" deleted successfully.
File "C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe" deleted successfully.
File "C:\Program Files\quakaqgu\ybrwktml.exe" deleted successfully.
Error: could not open file "C:\Program Files\RumYjUbK~ôg¨Ëybrwktml.exe\ybrwktml.exe"
Deletion of file "C:\Program Files\RumYjUbK~ôg¨Ëybrwktml.exe\ybrwktml.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
File "C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Démarrage\ybrwktml.exe" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
7 avril 2011 à 12:14
7 avril 2011 à 12:14
ok, refait un ZHPdiag
Ensuite essaie de trouver un fichier qui ressemble à ça:
C:\Program Files\RumYjUbK~ôg¨Ëybrwktml.exe\ybrwktml.exe
et supprime le
(Le chemin est bourré de caractères unicode, donc avenger a pas pu faire le boulot)
Ensuite essaie de trouver un fichier qui ressemble à ça:
C:\Program Files\RumYjUbK~ôg¨Ëybrwktml.exe\ybrwktml.exe
et supprime le
(Le chemin est bourré de caractères unicode, donc avenger a pas pu faire le boulot)
tonio232
Messages postés
72
Date d'inscription
vendredi 1 avril 2011
Statut
Membre
Dernière intervention
5 novembre 2014
1
7 avril 2011 à 12:37
7 avril 2011 à 12:37
voici le rapport de ZHPDiag :
https://pjjoint.malekal.com/files.php?id=59923bc88c101211
sinon j'ai réussi à trouver le fichier que tu m'as indiqué et je l'ai supprimé manuellement !
merci
https://pjjoint.malekal.com/files.php?id=59923bc88c101211
sinon j'ai réussi à trouver le fichier que tu m'as indiqué et je l'ai supprimé manuellement !
merci
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
7 avril 2011 à 12:56
7 avril 2011 à 12:56
bonne nouvelle, la clé F2 est partie!
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
J'ai l'impression que ça n'affiche pas tout avec ZHP...
Tu peux me faire un log avec Hijack this?
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
J'ai l'impression que ça n'affiche pas tout avec ZHP...
Tu peux me faire un log avec Hijack this?
tonio232
Messages postés
72
Date d'inscription
vendredi 1 avril 2011
Statut
Membre
Dernière intervention
5 novembre 2014
1
7 avril 2011 à 13:00
7 avril 2011 à 13:00
oui bien sur !! le voici :
https://pjjoint.malekal.com/files.php?id=aa49553f3b5511
https://pjjoint.malekal.com/files.php?id=aa49553f3b5511
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
7 avril 2011 à 13:02
7 avril 2011 à 13:02
ok
Tu as toujours des soucis?
Tu as toujours des soucis?
tonio232
Messages postés
72
Date d'inscription
vendredi 1 avril 2011
Statut
Membre
Dernière intervention
5 novembre 2014
1
7 avril 2011 à 13:20
7 avril 2011 à 13:20
Internet fonctionne de nouveau normalement ! Ce qui est déjà beaucoup pour moi car c'est ce à quoi me sert principalement ce PC !
Avast a arrêté de péter son câble toutes les 2 minutes !! encore un truc cool !!
Le seul problème qui demeure c'est que je ne peux plus accéder, par exemple, au contrôle du volume ou à la calculatrice, bref à certaines applications Windows. Mais outre le fait que ce n'est pas super grave, je pense surtout que c'est moi qui ai désinstallé ça lorsque j'ai tenté de régler ce problème par moi même !!
Bref donc un grand merci à toi, c'est super cool ce que tu as fait pour moi, je dirais même que c'est trop de la balle !!
J'aurais juste une petite question, qu'est-ce qui faut que je fasse désormais et à l'avenir pour éviter ce genre de problème ?
Faut-il que je demande à Avast de faire un scan minutieux ?
Ou alors que j'installe un autre anti-virus?
Bref si tu as juste un petit conseil à me donner je suis preneur !!
Encore merci mec !
Tony
Avast a arrêté de péter son câble toutes les 2 minutes !! encore un truc cool !!
Le seul problème qui demeure c'est que je ne peux plus accéder, par exemple, au contrôle du volume ou à la calculatrice, bref à certaines applications Windows. Mais outre le fait que ce n'est pas super grave, je pense surtout que c'est moi qui ai désinstallé ça lorsque j'ai tenté de régler ce problème par moi même !!
Bref donc un grand merci à toi, c'est super cool ce que tu as fait pour moi, je dirais même que c'est trop de la balle !!
J'aurais juste une petite question, qu'est-ce qui faut que je fasse désormais et à l'avenir pour éviter ce genre de problème ?
Faut-il que je demande à Avast de faire un scan minutieux ?
Ou alors que j'installe un autre anti-virus?
Bref si tu as juste un petit conseil à me donner je suis preneur !!
Encore merci mec !
Tony
Tigzy
Messages postés
7498
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
582
7 avril 2011 à 13:37
7 avril 2011 à 13:37
ok pas de soucis ;)
J'aurais juste une petite question, qu'est-ce qui faut que je fasse désormais et à l'avenir pour éviter ce genre de problème ?
Comme toujours, éviter les sites à risque et le P2P...
Mais bon, après c'est la loterie
* Télécharge DELFix de Xplode
* Lance le.
* A l'invite, tape 2 (suppression)
* Un rapport va s'ouvrir à la fin, colle le dans la réponse
----------
Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web
Et celui ci, sur les logiciels gratuits à éviter
------
Tu peux garder Malwarebytes pour un scan de temps à autres
-----
Pense à marquer le fil comme résolu
J'aurais juste une petite question, qu'est-ce qui faut que je fasse désormais et à l'avenir pour éviter ce genre de problème ?
Comme toujours, éviter les sites à risque et le P2P...
Mais bon, après c'est la loterie
* Télécharge DELFix de Xplode
* Lance le.
* A l'invite, tape 2 (suppression)
* Un rapport va s'ouvrir à la fin, colle le dans la réponse
----------
Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web
Et celui ci, sur les logiciels gratuits à éviter
------
Tu peux garder Malwarebytes pour un scan de temps à autres
-----
Pense à marquer le fil comme résolu
tonio232
Messages postés
72
Date d'inscription
vendredi 1 avril 2011
Statut
Membre
Dernière intervention
5 novembre 2014
1
7 avril 2011 à 13:40
7 avril 2011 à 13:40
# DelFix v7.6 - Rapport créé le 07/04/2011 à 12:39
# Mis à jour le 31/03/11 à 16h par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Tony Bazin - SAMSUNG (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Tony Bazin\Bureau\DelFix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\ToolBar SD
Supprimé : C:\Avenger
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\ComboFix.txt
Supprimé : C:\rapport.txt
Supprimé : C:\TB.txt
Supprimé : C:\avenger.txt
Supprimé : C:\TDSSKiller.2.4.21.0_01.04.2011_16.27.09_log.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\WINDOWS\System32\tmp.txt
Supprimé : C:\Documents and Settings\Tony Bazin\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\Tony Bazin\Bureau\avenger.exe
Supprimé : C:\Documents and Settings\Tony Bazin\Bureau\avenger.zip
Supprimé : C:\Documents and Settings\Tony Bazin\Bureau\SystemLook.exe
Supprimé : C:\Documents and Settings\Tony Bazin\Bureau\SystemLook.txt
Supprimé : C:\Documents and Settings\Tony Bazin\Bureau\HiJackThis.exe
Supprimé : C:\Documents and Settings\Tony Bazin\Bureau\hijackthis.log
Supprimé : C:\Documents and Settings\Tony Bazin\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Tony Bazin\Bureau\ZHPDiag2.exe
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
~~~~~~ Autre ~~~~~~
-> Prefetch vidé
########## EOF - "C:\DelFixSuppr.txt" - [2836 octets] ##########
Encore MERCI !!!!
Tony
# Mis à jour le 31/03/11 à 16h par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Tony Bazin - SAMSUNG (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Tony Bazin\Bureau\DelFix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\ToolBar SD
Supprimé : C:\Avenger
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\ComboFix.txt
Supprimé : C:\rapport.txt
Supprimé : C:\TB.txt
Supprimé : C:\avenger.txt
Supprimé : C:\TDSSKiller.2.4.21.0_01.04.2011_16.27.09_log.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\WINDOWS\System32\tmp.txt
Supprimé : C:\Documents and Settings\Tony Bazin\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\Tony Bazin\Bureau\avenger.exe
Supprimé : C:\Documents and Settings\Tony Bazin\Bureau\avenger.zip
Supprimé : C:\Documents and Settings\Tony Bazin\Bureau\SystemLook.exe
Supprimé : C:\Documents and Settings\Tony Bazin\Bureau\SystemLook.txt
Supprimé : C:\Documents and Settings\Tony Bazin\Bureau\HiJackThis.exe
Supprimé : C:\Documents and Settings\Tony Bazin\Bureau\hijackthis.log
Supprimé : C:\Documents and Settings\Tony Bazin\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Tony Bazin\Bureau\ZHPDiag2.exe
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
~~~~~~ Autre ~~~~~~
-> Prefetch vidé
########## EOF - "C:\DelFixSuppr.txt" - [2836 octets] ##########
Encore MERCI !!!!
Tony
