infecté par Win32: DNSChanger-ZZ [Trj] Résolu/Fermé

Question

Bonjour, 

Je viens vers vous car je sollicite votre aide. Je suis infecté par ce qui semble être un cheval de troie  Win32: DNSChanger-ZZ.  Celui est bien repéré par avest et mis en quarataine mais il revient sans cesse dans une autre nomination  TEMP.

Pouvez vous m'aider, s'il vous plait à remédier à ce problème car en plus de cela il ralentit considérablement mon ordi et ma connection internet.

Cordialement

Je suis sous XP



Configuration: Windows XP / Firefox 3.5.6

Utilisateur anonyme · Answer

bonjour,

* Télécharge ZHPDiag sur ton bureau :


https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
ou 
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://dl.free.fr
ou :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou : 
https://www.terafiles.net/

adelicious · Answer

Bonjour, voici le lien où le diagnostic a été déposé...

http://www.cijoint.fr/cjlink.php?file=cj201104/cijDc1YXUm.txt



Merci pour votre aide.

Utilisateur anonyme · Answer

bonjour,
ton pc est bondé d'infections !!!

quele st ton antivirus ? avira, avast ou bitdefender ?

tu as en bonus un rootkit !!!

pour les antivirus, il faut en conserver un seul, à toi d'en choisir un !


télécharge ce fichier et enregistre le sur ton bureau:

http://www.cijoint.fr/cjlink.php?file=cj201104/cijJ28daWU.txt

*	Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 


fais un Glisser/déposer du fichier que tu as enregistré dans la fênetre de zhpfix.

- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

adelicious · Answer

Voici le rapport...


Rapport de ZHPFix 1.12.3274 par Nicolas Coolman, Update du 06/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-11-04-2011-17-45-13.txt
Run by Housni at 11/04/2011 17:45:13
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
O42 - Logiciel: AutocompletePro - (.Pas de propriÃ©taire.) [HKLM] -- AutocompletePro3_is1  => Logiciel supprimé avec succès

========== Clé(s) du Registre ==========
HKCU\Software\AutocompleteProBHO  => Clé supprimée avec succès
HKCU\Software\AutocompletePro  => Clé absente
HKCU\Software\OUU6KC5WPX  => Clé supprimée avec succès
HKLM\Software\GamesBarSetup  => Clé supprimée avec succès
HKLM\Software\ImInstaller  => Clé supprimée avec succès
HKLM\Software\OpenCandy  => Clé supprimée avec succès
HKLM\Software\Trymedia Systems  => Clé supprimée avec succès
O51 - MPSK:{038313c0-da0b-11de-a8d4-000e35b9782b}\AutoRun\command. (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\system32\auto.exe (.not file.)  => Clé supprimée avec succès
O51 - MPSK:{3ef68990-d245-11dc-a532-000e35b9782b}\AutoRun\command. (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\system32\auto.exe (.not file.)  => Clé supprimée avec succès
O51 - MPSK:{43ae3681-f3cc-11db-a2ed-00030d2236f4}\AutoRun\command. (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\system32\AdobeR.exe (.not file.)  => Clé supprimée avec succès
O51 - MPSK:{8221e0b0-179a-11dd-a5d5-000e35b9782b}\AutoRun\command. (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\system32\auto.exe (.not file.)  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\HNUnfHXlkc  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\DOCUME~1\Housni\LOCALS~1\Temp\cmd.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\HNUnfHXlne  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\DOCUME~1\Housni\LOCALS~1\Temp\lsass.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\HNUnfHXlprc  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\DOCUME~1\Housni\LOCALS~1\Temp\install.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\HNUnfHXlpsc  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\DOCUME~1\Housni\LOCALS~1\Temp	askmgr.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\HNUnfHXlqb  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\DOCUME~1\Housni\LOCALS~1\Temp\winamp.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\HNUnfHXlqvc  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\DOCUME~1\Housni\LOCALS~1\Temp\wininst.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\MKeg  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\smss.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\MKerb  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS	askmgr.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\MKeta  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\services.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\MKfa  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\win.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\MKfpe  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\winamp.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\MKZe  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\avp.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\NtWqIVLZEWZU  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\DOCUME~1\Housni\LOCALS~1\Temp\Am6.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\OUU6KC5WPX  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\DOCUME~1\Housni\LOCALS~1\Temp\Am4.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\wuaucldt  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- c:\documents and settings\housni\wuaucldt.exe  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - cdfss (cdfss)  .(...) - LEGACY_CDFSS  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS)  .(...) - LEGACY_SSHNAS  => Clé supprimée avec succès

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified  => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified  => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified  => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Documents and Settings\Housni\Application Data\Mozilla\Firefox\Profiles\qzmhzfzi.default\extensions\support@predictad.com  => Supprimé et mis en quarantaine
C:\Program Files\AutocompletePro  => Supprimé et mis en quarantaine
C:\Program Files\GamesBar  => Supprimé et mis en quarantaine
C:\Documents and Settings\Housni\Application Data\Toolbar4  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\windows	asks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job  => Supprimé et mis en quarantaine
c:\docume~1\housni\locals~1	emp\cmd.exe  => Fichier absent
c:\docume~1\housni\locals~1	emp\lsass.exe  => Fichier absent
c:\docume~1\housni\locals~1	emp\install.exe  => Fichier absent
c:\docume~1\housni\locals~1	emp	askmgr.exe  => Fichier absent
c:\docume~1\housni\locals~1	emp\winamp.exe  => Fichier absent
c:\docume~1\housni\locals~1	emp\wininst.exe  => Fichier absent
c:\windows\smss.exe  => Fichier absent
c:\windows	askmgr.exe  => Fichier absent
c:\windows\services.exe  => Fichier absent
c:\windows\win.exe  => Fichier absent
c:\windows\winamp.exe  => Fichier absent
c:\windows\avp.exe  => Fichier absent
c:\docume~1\housni\locals~1	emp\am6.exe  => Fichier absent
c:\docume~1\housni\locals~1	emp\am4.exe  => Fichier absent
c:\documents and settings\housni\wuaucldt.exe  => Fichier absent

========== Fichier HOSTS ==========
Le fichier Hosts est sain

========== Autre ==========
Emptytemps  => Format Non supporté


========== Récapitulatif ==========
28 : Clé(s) du Registre
3 : Elément(s) de donnée du Registre
4 : Dossier(s)
16 : Fichier(s)
1 : Logiciel(s)
1 : Fichier HOSTS
1 : Autre


End of the scan

adelicious · Answer

voici le rapport

Rapport de ZHPFix 1.12.3274 par Nicolas Coolman, Update du 06/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-11-04-2011-17-45-13.txt
Run by Housni at 11/04/2011 17:45:13
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
O42 - Logiciel: AutocompletePro - (.Pas de propriÃ©taire.) [HKLM] -- AutocompletePro3_is1  => Logiciel supprimé avec succès

========== Clé(s) du Registre ==========
HKCU\Software\AutocompleteProBHO  => Clé supprimée avec succès
HKCU\Software\AutocompletePro  => Clé absente
HKCU\Software\OUU6KC5WPX  => Clé supprimée avec succès
HKLM\Software\GamesBarSetup  => Clé supprimée avec succès
HKLM\Software\ImInstaller  => Clé supprimée avec succès
HKLM\Software\OpenCandy  => Clé supprimée avec succès
HKLM\Software\Trymedia Systems  => Clé supprimée avec succès
O51 - MPSK:{038313c0-da0b-11de-a8d4-000e35b9782b}\AutoRun\command. (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\system32\auto.exe (.not file.)  => Clé supprimée avec succès
O51 - MPSK:{3ef68990-d245-11dc-a532-000e35b9782b}\AutoRun\command. (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\system32\auto.exe (.not file.)  => Clé supprimée avec succès
O51 - MPSK:{43ae3681-f3cc-11db-a2ed-00030d2236f4}\AutoRun\command. (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\system32\AdobeR.exe (.not file.)  => Clé supprimée avec succès
O51 - MPSK:{8221e0b0-179a-11dd-a5d5-000e35b9782b}\AutoRun\command. (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\system32\auto.exe (.not file.)  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\HNUnfHXlkc  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\DOCUME~1\Housni\LOCALS~1\Temp\cmd.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\HNUnfHXlne  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\DOCUME~1\Housni\LOCALS~1\Temp\lsass.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\HNUnfHXlprc  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\DOCUME~1\Housni\LOCALS~1\Temp\install.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\HNUnfHXlpsc  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\DOCUME~1\Housni\LOCALS~1\Temp	askmgr.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\HNUnfHXlqb  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\DOCUME~1\Housni\LOCALS~1\Temp\winamp.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\HNUnfHXlqvc  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\DOCUME~1\Housni\LOCALS~1\Temp\wininst.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\MKeg  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\smss.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\MKerb  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS	askmgr.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\MKeta  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\services.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\MKfa  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\win.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\MKfpe  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\winamp.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\MKZe  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\WINDOWS\avp.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\NtWqIVLZEWZU  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\DOCUME~1\Housni\LOCALS~1\Temp\Am6.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\OUU6KC5WPX  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\DOCUME~1\Housni\LOCALS~1\Temp\Am4.exe  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\wuaucldt  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- c:\documents and settings\housni\wuaucldt.exe  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - cdfss (cdfss)  .(...) - LEGACY_CDFSS  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS)  .(...) - LEGACY_SSHNAS  => Clé supprimée avec succès

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified  => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified  => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified  => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Documents and Settings\Housni\Application Data\Mozilla\Firefox\Profiles\qzmhzfzi.default\extensions\support@predictad.com  => Supprimé et mis en quarantaine
C:\Program Files\AutocompletePro  => Supprimé et mis en quarantaine
C:\Program Files\GamesBar  => Supprimé et mis en quarantaine
C:\Documents and Settings\Housni\Application Data\Toolbar4  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\windows	asks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job  => Supprimé et mis en quarantaine
c:\docume~1\housni\locals~1	emp\cmd.exe  => Fichier absent
c:\docume~1\housni\locals~1	emp\lsass.exe  => Fichier absent
c:\docume~1\housni\locals~1	emp\install.exe  => Fichier absent
c:\docume~1\housni\locals~1	emp	askmgr.exe  => Fichier absent
c:\docume~1\housni\locals~1	emp\winamp.exe  => Fichier absent
c:\docume~1\housni\locals~1	emp\wininst.exe  => Fichier absent
c:\windows\smss.exe  => Fichier absent
c:\windows	askmgr.exe  => Fichier absent
c:\windows\services.exe  => Fichier absent
c:\windows\win.exe  => Fichier absent
c:\windows\winamp.exe  => Fichier absent
c:\windows\avp.exe  => Fichier absent
c:\docume~1\housni\locals~1	emp\am6.exe  => Fichier absent
c:\docume~1\housni\locals~1	emp\am4.exe  => Fichier absent
c:\documents and settings\housni\wuaucldt.exe  => Fichier absent

========== Fichier HOSTS ==========
Le fichier Hosts est sain

========== Autre ==========
Emptytemps  => Format Non supporté


========== Récapitulatif ==========
28 : Clé(s) du Registre
3 : Elément(s) de donnée du Registre
4 : Dossier(s)
16 : Fichier(s)
1 : Logiciel(s)
1 : Fichier HOSTS
1 : Autre


End of the scan

Utilisateur anonyme · Answer

*		/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 

	
&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

adelicious · Answer

voici le rapport...

http://www.cijoint.fr/cjlink.php?file=cj201104/cijWBJ08n7.txt

Utilisateur anonyme · Answer

ok pour zhpfix, passe à ce poste :

https://forums.commentcamarche.net/forum/affich-21778584-infecte-par-win32-dnschanger-zz-trj#6

adelicious · Answer

voici le rapport de Combofix

http://www.cijoint.fr/cjlink.php?file=cj201104/cijX9LsVBg.txt

Utilisateur anonyme · Answer

bonjour,

Rends toi sur ce site :
 
https://www.virustotal.com/gui/ 

clique sur parcourir et cherche ces fichiers à faire analyser un par un : 


c:\windows\system32\drivers\06091252.sys     
c:\windows\system32\drivers\0609125.sys   
c:\windows\system32\drivers\06091251.sys   
c:\windows\system32\drivers\92764822.sys 
c:\windows\system32\drivers\9276482.sys
c:\windows\system32\drivers\92764821.sys  


clique sur send file 
un rapport va s'élaborer ligne à ligne 
attends un peu, il doit comprendre la taille du fichier envoyé 
une fois le rapport complet, copie et colle les liens des rapports sur ton prochain message.

adelicious · Answer

Bonjour,

les fichiers que vous me demandez de vérifier, c:\windows\system32\drivers\06091252.sys   etc sont introuvable!

J'ai regarder si j'étais en fichier caché mais non! J'ai bien un dossier drivers dans le system32 du windows (C) mais aucune trace des 0609......sys!

Utilisateur anonyme · Answer

ok,
	
Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 
ou ici :
 https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/


. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

adelicious · Answer

voici le rapport MBAM...

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6341

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12/04/2011 16:57:58
mbam-log-2011-04-12 (16-57-58).txt

Type d'examen: Examen complet (C:\|E:\|)
Elément(s) analysé(s): 260715
Temps écoulé: 1 heure(s), 58 minute(s), 38 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\BSRURUF55J (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\system volume information\_restore{3b5ad0a6-7db3-418e-8ae2-fb4cdd18db61}\rp6\a0009331.dll (Trojan.Downloader) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

as tu encore des redirections ?


relance MBAM, vide sa quarantaine seulement,

repasse un nouveau zhpdiag,

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : 
http://dl.free.fr 
ou : 
http://www.cijoint.fr/ 
ou : 
http://ww38.toofiles.com/fr/documents-upload.html 
ou : 
https://www.terafiles.net/

adelicious · Answer

Bonjour,

voici le rapport ZHP...

http://www.cijoint.fr/cjlink.php?file=cj201104/cijT9ds630.txt

Utilisateur anonyme · Answer

bonjour, 

télécharge ce fichier et enregisre le sur ton bureau : 

http://www.cijoint.fr/cjlink.php?file=cj201104/cijQPr0hbJ.txt 


* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)  

fais un Glisser/déposer du fichier que tu viens de télécharger dans la fenêtre de zhpfix. 


- Clique sur le bouton « GO » pour lancer le nettoyage, 
- Copie/colle la totalité du rapport dans ta prochaine réponse 





passe ces fichiers ur le site de virus total, je ne trouve rien là dessus : 

si inutile, on les vire ! 


O44 - LFC:[MD5.5B076F038A039CC8EA897286C4CBB58E] - 09/04/2011 - 09:53:56 ---A- . (...) -- C:\WINDOWS\DUMPab6b.tmp   [90112]     
O44 - LFC:[MD5.521986A69D73D1E05669E48BA2A548DC] - 31/03/2011 - 13:43:37 ---A- . (...) -- C:\WINDOWS\DUMP813f.tmp   [90112]      
O44 - LFC:[MD5.25AE1C349E5EECFA2D7DCD65BEE4089E] - 31/03/2011 - 13:42:36 ---A- . (...) -- C:\WINDOWS\DUMP8804.tmp   [90112]     
O44 - LFC:[MD5.3E1F35C6790FE38E208E47075D849FAB] - 31/03/2011 - 11:34:33 ---A- . (...) -- C:\WINDOWS\DUMPad87.tmp   [90112]      
O44 - LFC:[MD5.065EC916CD89AB78ED7A6FC7E32F88C9] - 30/03/2011 - 18:58:42 ---A- . (...) -- C:\WINDOWS\DUMP8597.tmp   [90112]      
O44 - LFC:[MD5.BEE7469591E5317D57CE13600CBF5BD4] - 30/03/2011 - 18:57:13 ---A- . (...) -- C:\WINDOWS\DUMP9289.tmp   [90112]      
O44 - LFC:[MD5.9B7721B0D5F253D54B534E76F441C742] - 30/03/2011 - 18:55:40 ---A- . (...) -- C:\WINDOWS\DUMP8a5c.tmp   [90112]      
O44 - LFC:[MD5.99720CA9AFAAB51E07C77795471809F2] - 29/03/2011 - 14:09:29 ---A- . (...) -- C:\Acr6326.tmp   [358]     
O44 - LFC:[MD5.D0FF8B14C032544F506BAC0D0CDAD144] - 29/03/2011 - 14:09:28 ---A- . (...) -- C:\Acr62C5.tmp   [358]     
O44 - LFC:[MD5.1F30E76814113CFC5E5C822DE2CF4A3A] - 29/03/2011 - 14:09:27 ---A- . (...) -- C:\Acr625C.tmp   [358]   


O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø  

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire. Une fois ton problème passé, coche ton message comme résolu.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

adelicious · Answer

sur virustotal, pour  tout les C:\WINDOWS\DUMP...seul mcafee GW me trouve 
Heuristic.BehavesLike.Exploit.CodeExec.PGPG

rien pour les C:\Acr...

Puis-je tout supprimer?


Voici le rapport ZHPfix

http://ww38.toofiles.com/fr/oip/documents/txt/zhpfixreport.html

Utilisateur anonyme · Answer

tous les fichiers Dum*** sortent en euristique?

peux tu me donner le lien de virus total s'il te plait ?

adelicious · Answer

tout les fichiers DUM...oui par mcAfee GW edition

rien à signaler pour les fichiers Acr

voici le lien

http://www.virustotal.com/file-scan/report.html?id=c42d83c81ca692cddb8772f3e76ec0d75235c8844750ead0369ff1f81bdeedf2-1302699482

Utilisateur anonyme · Answer

on les met de côté pour le moment, je ne sais pas à qui ça correspond, mais au cas ou, je ne prefère pas les virer !

vu qu'il y a juste une détection, il s'agit surement d'un fau positif !

comment va le pc avant de lancer la fin  :-)

adelicious · Answer

pour le moment le PC se porte très bien...

je tenais à vous remercier pour votre aide et le temps que vous avez passer à la résolution du problème...encore MERCI

Utilisateur anonyme · Answer

on finit alors  :-)

. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ 

.double-cliques sur le fichier pour lancer l'installation 
.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur suivant 
.lis la licence et j'accepte 
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer 
.double-cliques sur l'icône de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option et puis avancé 
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur 
.cliques sur windows et dans la colonne avancé 
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
.cliques sur analyse une fois l'analyse terminé 
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.cliques maintenant sur registre et puis sur rechercher les erreurs 
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
.il supprime et fermer tu vérifies en relançant rechercher les erreurs 
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
.tu peux fermer Ccleaner

tuto installation & nettoyage : 
https://www.donnemoilinfo.com/tuto/CCleaner/


*	pour supprimer les outils de désinfection
:
Télecharge Delfix sur ton bureau :

http://www.teamxscript.org/too/Xplode/DelFix.exe

*Clique sur le bouton «  Suppression » et poste son rapport sur ton prochain message
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.

*	Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :
 
Pour XP :          https://www.commentcamarche.net/faq/5097-virus-system-volume-information 


*	fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

adelicious · Answer

voici le rapport Delfix...

http://www.cijoint.fr/cjlink.php?file=cj201104/cijLYecyPb.txt

Utilisateur anonyme · Answer

ok, 

passe à la suite  :-)

adelicious · Answer

ok et c'est bon  aussi pour CCleaner....


y'a une suite?

Utilisateur anonyme · Answer

as tu purger la restauration système ?
le scan de ton antivirus, qu'est ce que ça donne ? 


O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø  

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire. Une fois ton problème passé, coche ton message comme résolu.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

adelicious · Answer

Bonjour,

oui j'ai supprimé tout les anciens points de restauration, et le scan de l'antivirus n'a rien trouvé d'anormal!


Merci pour ta patience, et pour le temps que tu as consacré à mon problème

Utilisateur anonyme · Answer

bonjour,
crée un nouveau point de restauration système tout neuf  :P


sur ce, bon surf  ;-)

Infecté par Win32: DNSChanger-ZZ [Trj]

28 réponses

Discussions similaires