XP Home Security Fermé

Question

Bonjour, 

Mon amie a été infectée dans les derniers jours. Je crois que j'ai réussi à nettoyer un peu avec "Malwarebytes' Anti-Malware", mais je crois qu'il reste encore des résidus.

J'ai lu votre forum pour quelques astuces, mais je crois que j'aurai de besoin votre aide.

J'ai essayé RogueKiller, mais il plante. Cela même en mode sans échec.

Si cela peut aider, voici deux rapports :

ZHPDiag :
https://pjjoint.malekal.com/files.php?id=bd5c846c9e141211

Ad-Report:

--------------------

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 08/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 13:13:14 le 09/04/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
Myriam@LGF1224HF1 ( ) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.




============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.16 (fr)] ****

FIREFOX.EXE\Shell\Open\Command - "C:\DOCUME~1\Myriam\LOCALS~1\Temp\0.7456768306675555.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe"

-- C:\Documents and Settings\Myriam\Application Data\Mozilla\FireFox\Profiles\k4o1u9r1.default --
Searchplugins\google-language-fr.xml (?)
Searchplugins\sweetim.xml (?)
Prefs.js - browser.download.lastDir, C:\Documents and Settings\Myriam\Bureau
Prefs.js - browser.search.defaultenginename, SweetIM Search
Prefs.js - browser.search.defaulturl, hxxp://search.sweetim.com/search.asp?src=2&q=
Prefs.js - browser.search.selectedEngine, SweetIM Search
Prefs.js - browser.startup.homepage, hxxp://www.google.ca/firefox?client=firefox-a&rls=org.mozilla:fr:official
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.16
Prefs.js - keyword.URL, hxxp://search.sweetim.com/search.asp?src=2&q=
Prefs.js - sweetim.toolbar.previous.browser.search.defaultenginename, chrome://browser-region/locale/region.properties
Prefs.js - sweetim.toolbar.previous.browser.startup.homepage, hxxp://www.google.ca/firefox?client=firefox-a&rls=org.mozilla:fr:offi...
Prefs.js - sweetim.toolbar.previous.keyword.URL, chrome://browser-region/locale/region.properties

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

IEXPLORE.EXE\Shell\Open\Command - C:\DOCUME~1\Myriam\LOCALS~1\Temp\0.7456768306675555.exe -a C:\Program Files\Internet Explorer\iexplore.exe
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{EEE6C35D-6118-11DC-9C72-001320C79847} - "SweetIM ToolbarURLSearchHook Class" (C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll)
HKCU_SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847} - "SweetIM Search" (hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms})
HKLM_SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847} - "SweetIM Search" (hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms})
HKCU_Toolbar|{710EB7A1-45ED-11D0-924A-0020AFC7AC4D} (x)
HKCU_Toolbar\WebBrowser|{EEE6C35B-6118-11DC-9C72-001320C79847} (C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll)
HKLM_Toolbar|{EEE6C35B-6118-11DC-9C72-001320C79847} (C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll)
HKLM_ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelperApp.exe (SweetIM Technologies Ltd.)
HKCU_Extensions\{F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - "Correcteur" (C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote K - IE 6.ico)
HKCU_Extensions\{F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - "Dictionnaires" (C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote D - IE 6.ico)
HKCU_Extensions\{FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - "Guides" (C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote G - IE 6.ico)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
BHO\{EEE6C35C-6118-11DC-9C72-001320C79847} - "SweetIM Toolbar Helper" (C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 09/04/2011 13:09:00 (4824 Octet(s)) 
C:\Ad-Report-CLEAN[2].txt - 09/04/2011 13:13:19 (3445 Octet(s)) 

Fin à: 13:14:16, 09/04/2011 
 
============== E.O.F ============== 

------------------------------

Toute aide sera appréciée, merci

gen-hackman · Answer

salut renomme roguekiller en winlogon et reteste

barbote1 · Answer

oui, j'aurais du spécifié que j'avais déjà essayé en renommant RogueKiller en différent nom et même en .com.

c'était la version 4.3.7 et j'avais choisi l'option 2. suppression.

Mais si tu me dis qu'en le renommant winlogon.exe sera différent. J'irai l'essayer.

merci

gen-hackman · Answer

si ca ne fonctionne pas

desactive tes protections puis enregistre ceci sur ton bureau

Pre_Scan

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

une fois telechargé lance-le , laisse faire le scan puis colle le contenu de " rapport.txt" qui apparaitra à son terme , sur le bureau.

barbote1 · Answer

Tu avais raison en Renommant Roguekiller en winlogon.exe, voici le rapport: ------------------------------------------ ------------------------------------------ RogueKiller V4.3.7 par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Myriam [Droits d'admin] Mode: Suppression -- Date : 10/04/2011 15:45:55 Processus malicieux: 0 Entrees de registre: 2 [FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\DOCUME~1\Myriam\LOCALS~1\Temp\0.7456768306675555.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> REPLACED : ("C:\Program Files\mozilla firefox\firefox.exe") [FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\DOCUME~1\Myriam\LOCALS~1\Temp\0.7456768306675555.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED : ("C:\Program Files\internet explorer\iexplore.exe") Fichier HOSTS: 127.0.0.1 localhost ------------------------------------------ ------------------------------------------ et le rapport de Pre Scan: ------------------------------------------ ------------------------------------------ ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan 1.0.0.26 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ¤ XP | Vista | Seven - 32/64 ¤ Mis à jour le 10/04/2011 | 20.30 par g3n-h@ckm@n Utilisateur : Myriam (Administrateurs) Ordinateur : LGF1224HF1 Système d'exploitation : Microsoft Windows XP (32 bits) Architecture OS : X86 Internet Explorer : 8.0.6001.18702 Mozilla Firefox : 3.6.16 (fr) Scan : 15:52:05 | 10/04/2011 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ [HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe [HKLM\..\..\Winlogon] | AutoRestartShell -> Modification apportée : 0 -> 1 [HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\WINDOWS\system32\userinit.exe, -> C:\WINDOWS\system32\userinit.exe, [HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : 0 -> 1 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤ [.exe] : exefile [exefile | command] : "%1" %* [.com] : comfile [comfile | command] : "%1" %* [.scr] : scrfile [scrfile | command] : "%1" /S [.bat] : batfile [batfile | command] : "%1" %* [.cmd] : cmdfile [cmdfile | command] : "%1" %* [.pif] : piffile [piffile | command] : "%1" %* [Firefox | Command] | @ -> Aucune modification : "C:\Program Files\mozilla firefox\firefox.exe" -> "C:\Program Files\mozilla firefox\firefox.exe" [Firefox - Safemode | Command] | @ -> Modification apportée : "C:\DOCUME~1\Myriam\LOCALS~1\Temp\0.7456768306675555.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode -> "C:\Program Files\Mozilla Firefox\Firefox.exe" -safe-mode [IE | Command] | @ -> Aucune modification : "C:\Program Files\internet explorer\iexplore.exe" -> "C:\Program Files\internet explorer\iexplore.exe" [Applications | IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\IEXPLORE.EXE" %1 -> "C:\Program Files\Internet Explorer\IEXPLORE.EXE" %1 ¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤ [Ndisuio] | Start -> Aucune modification : 3 -> 3 [lmhosts] | Start -> Aucune modification : 2 -> 2 : Service Actif [LanmanWorkstation] | Start -> Aucune modification : 2 -> 2 : Service Actif [LanmanServer] | Start -> Aucune modification : 2 -> 2 : Service Actif [ERSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif [Bits] | Start -> Modification apportée : 3 -> 2 : Service Redemarré [CryptSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif [EapHost] | Start -> Modification apportée : 3 -> 2 : Service Redemarré [SharedAccess] | Start -> Modification apportée : 4 -> 2 : Service Redemarré [wuauserv] | Start -> Modification apportée : -> 2 : Service Redemarré [wscsvc] | Start -> Aucune modification : 2 -> 2 : Service Actif [wzcsvc] | Start -> Aucune modification : 2 -> 2 : Service Actif ¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤ [HKCU | Main] | Start Page -> Modification apportée : https://www.msn.com/fr-fr -> https://www.google.com/?gws_rd=ssl [HKCU | Main] | Local Page -> Aucune Modification : C:\WINDOWS\system32\blank.htm -> C:\WINDOWS\system32\blank.htm [HKCU | Main] | Search Page -> Modification apportée : -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch [HKLM | Main] | Start Page -> Modification apportée : https://www.msn.com/fr-fr -> https://www.msn.com/fr-fr/?ocid=iehp [HKLM | Main] | Local Page -> Aucune Modification : C:\WINDOWS\system32\blank.htm -> C:\WINDOWS\system32\blank.htm [HKLM | Main] | Default_Search_URL -> Modification apportée : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF [HKLM | Main] | Default_Page_URL -> Modification apportée : https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF -> https://www.msn.com/fr-fr/?ocid=iehp [HKLM | Main] | Search Page -> Modification apportée : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\AGRSMMSG.exe -> Processus stoppé C:\WINDOWS\explorer.exe -> Processus stoppé C:\WINDOWS\RTHDCPL.exe -> Processus stoppé ¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤ ¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤ ¤¤¤¤¤¤¤¤¤¤ Mountpoints2 ¤¤¤¤¤¤¤¤¤¤ Supprimé : [HKCU\..\..\Mountpoints2\{68e6ef9e-fcec-11dc-9d2e-0019db386b79}] -> command : E:\LaunchU3.exe ¤¤¤¤¤¤¤¤¤¤ MBR ¤¤¤¤¤¤¤¤¤¤ MBRCheck, version 1.2.3 (c) 2010, AD Command-line: -za C:\MBR\MBR.bin Windows Version: Windows XP Home Edition Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0300000c Analysis of file "C:\MBR\MBR.bin": Windows XP MBR code detected Done! ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ explorer.exe -> Processus redémarré Fin : 15:52:33 ¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤ ------------------------------------------ ------------------------------------------

gen-hackman · Answer

ok

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Kill'em

et enregistre le sur ton bureau et lance l'installation 

Laisse coché :

&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" 

choisis l'option Search

&#9654 laisse travailler l'outil

Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95%, relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan

&#9654 Poste les rapports qui apparaitront sur ton bureau : List'em.txt et More.txt

&#9654&#9654&#9654 NE LES POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ces liens dans ta réponse.

barbote1 · Answer

Voici les rapports demandé.

List'em.txt:

http://www.cijoint.fr/cjlink.php?file=cj201104/cij2udZAF8.txt

More.txt:

http://www.cijoint.fr/cjlink.php?file=cj201104/cij4k7Q5Nz.txt

gen-hackman · Answer

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau

&#9654 Lance le

Une fenêtre apparait : clique sur "Disable"

&#9654 Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

==========================================

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Suppression

&#9654&#9654&#9654 Ne clique qu'une seule fois sur le bouton !!

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

barbote1 · Answer

Voici le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201104/cijS0u4Vom.txt

gen-hackman · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Configuration

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

barbote1 · Answer

voici:

OTL.Txt:

http://www.cijoint.fr/cjlink.php?file=cj201104/cijPtipBSl.txt

Extras.Txt:

http://www.cijoint.fr/cjlink.php?file=cj201104/cij3VMcrYC.txt

gen-hackman · Answer

Télécharge SEAF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape 3lhqy33xpt11p      

 dans cette fenêtre 

confirme la recherche " aussi " dans le registre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

=======================================

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"      
FF - prefs.js..browser.search.defaulturl: "https://search.sweetim.com/search.asp?src=2&q="   
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17 
FF - prefs.js..keyword.URL: "https://search.sweetim.com/search.asp?src=2&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "chrome://browser-region/locale/region.properties"      
O4 - HKLM\..\Run: []  File not found
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} file:///C:/Program%20Files/Mahjong%20Escape%20-%20Ancient%20Japan/Images/stg_drm.ocx (SpinTop DRM Control)  
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)  
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17) 
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} file:///C:/Program%20Files/Mahjong%20Escape%20-%20Ancient%20Japan/Images/armhelper.ocx (ArmHelper Control)  
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) 
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()    => Lavasoft AB Ad-Aware Boot Cleaner  


:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Alcmtr"=-
"IMEKRMIG6.1"=-
"IMJPMIG8.1"=-
"LVCOMSX"=-
"MSN Toolbar"=-
"MSPY2002"=-
"PHIME2002A"=-
"PHIME2002ASync"=-
"QuickTime Task"=-
"RTHDCPL"=-
"SunJavaUpdateSched"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"=-

:Files
C:\Documents and Settings\Myriam\Bureau\Pre_scan.exe      
C:\Documents and Settings\Myriam\Bureau\winlogon.exe    
C:\Documents and Settings\Myriam\Local Settings\Application Data\3lhqy33xpt11p      
C:\Documents and Settings\All Users\Application Data\3lhqy33xpt11p       
:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

barbote1 · Answer

Voici SeafLog.txt:

http://www.cijoint.fr/cjlink.php?file=cj201104/cijwXla9aL.txt

et OTL correction:

http://www.cijoint.fr/cjlink.php?file=cj201104/cijRrGX4n8.txt

gen-hackman · Answer

seaf est pas bon si tu ne lis pas comme il faut ca va etre dur de desinfecter !

barbote1 · Answer

o.k. donc je refais exactement le seaf et OTL ?

pour seaf, j'étais pas certain:

----------------------------
*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape 3lhqy33xpt11p

dans cette fenêtre

confirme la recherche " aussi " dans le registre et [Entrée].
------------------------------

ça voulait dire taper 3lhqy33xpt11p et peser sur le bouton "Lancer la recherche" ?

gen-hackman · Answer

il y a une petite case à cocher pour selectionner la recherche dans le registre ou pas

barbote1 · Answer

Bon, voici

SeafLog 2011-04-14.txt
http://www.cijoint.fr/cjlink.php?file=cj201104/cijV0bycvk.txt

OTL 2011-04-14.txt
http://www.cijoint.fr/cjlink.php?file=cj201104/cijeQvnVfW.txt

gen-hackman · Answer

pas bon le seaf date du 12 le rapporrt

barbote1 · Answer

Désolé pour le mélange des rapports...

o.k voici:

Seaf:
http://www.cijoint.fr/cjlink.php?file=cj201104/cijzvAB26J.txt

OTL:
http://www.cijoint.fr/cjlink.php?file=cj201104/cijtHuo66G.txt

gen-hackman · Answer

supprime ca si tu peux

C:\Documents and Settings\Myriam\Modèles\3lhqy33xpt11p

barbote1 · Answer

J'ai supprimer 3lhqy33xpt11p

gen-hackman · Answer

tu peux poster le rapport de malwarebytes en question ?

barbote1 · Answer

...en question ?

Si tu voulais dire le rapport du début, voici les deux que j'avais fait:

malwarebytes 01:
http://www.cijoint.fr/cjlink.php?file=cj201104/cijkXzNndb.txt

02:
http://www.cijoint.fr/cjlink.php?file=cj201104/cijko8kD5Z.txt

Puis dès que j'ai la chance je vais te poster un nouveau demain soir.

merci.

gen-hackman · Answer

regarde si tu as encore ce fichier

c:\documents and settings\myriam\local settings	emp\0.5311357597768761.exe

barbote1 · Answer

désoler pour le délai.

"0.5311357597768761.exe" n'est plus dans le dossier temp

gen-hackman · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

barbote1 · Answer

voici celui que j'avais fait le 18 avril:

http://www.cijoint.fr/cjlink.php?file=cj201104/cijNlI48TB.txt

gen-hackman · Answer

entre temps il y eu deux/trois bonnes mises à jour et tu n'as pas mis le logiciel à jour lol

quels soucis persistent ?

barbote1 · Answer

voici le scan malwarebytes:

http://www.cijoint.fr/cjlink.php?file=cj201104/cijyHEsZ7W.txt

gen-hackman · Answer

ouaip'   

n'empeche que t'as pas repondu à ma question ^^  
G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....

barbote1 · Answer

"Quels soucis persistent?" ?

-Les mises à jour automatiques de Microsoft sont désactivées, bien que l'option est toujours à automatique.

-Mon amie est inquiète de son disque externe qui était branché lors de l'infection. Elle ne l'a pas utilisé depuis.

À part cela, le reste semble fonctionner normalement.

gen-hackman · Answer

&#9654 Télécharge ici : USBFIX sur ton bureau 

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

barbote1 · Answer

voici le rapport, merci:

http://www.cijoint.fr/cjlink.php?file=cj201104/cijmgqBRrr.txt

gen-hackman · Answer

salut c'est normal ces dossiers similaires dans deux lecteurs differents ?

F:\_Mes Documents

barbote1 · Answer

Oui, c'est normal. Son F:\ ces sont disque externe.

gen-hackman · Answer

et c'est normal qu'on retrouve ce dossier dans D:\ aussi?

barbote1 · Answer

oui, D:\ c'est ça deuxième partition.

gen-hackman · Answer

toujours des soucis avec les mises a jour desactivées ?

barbote1 · Answer

oui

gen-hackman · Answer

telecharge ici : CLRAV

lance-le , clique sur telecharger la nouvelle version 

relance-le clic sur lancer le nettoyage 

A la fin du scan, CLRAV.txt sera sur ton bureau

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

tu clic droit dessus /envoyer vers / dossiers compresses

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

barbote1 · Answer

voici le rapport de CLRAV, merci

http://www.cijoint.fr/cjlink.php?file=cj201105/cijxhBavII.txt

gen-hackman · Answer

heu....tu l'as arreté avant la fin ou quoi ?

chez moi le rapport fait 8 Mo quand je le fais tourner

XP Home Security

41 réponses

Discussions similaires