Diagnostic d'un pc infecté Fermé

Question

Bonjour!

Mon pc a été infecté car avast n'était plus à jour. Je l'ai réinstallé ensuite mais puisqu'il ne supprime pas les virus, celui-ci est toujours là : tous mes fichiers et dossiers sont cachés, mais il n'y a pas d'autre problème que j'aurais remarqué. Comment faire un diagnostic (qui pourrait me permettre de ne pas payer en magasin...)?
Le pc est sous vista.
Merci!

Utilisateur anonyme · Answer

Salut,

Nous allons effectuer un diagnostic de ton PC: 
*Télécharge ZHPDiag sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag" 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : 
http://pjjoint.malekal.com/ 

Si indisponible: 
http://www.cijoint.fr/ 

* Tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com 

* Rends toi sur http://pjjoint.malekal.com/ 
* Clique sur le bouton Parcourir 
* Sélectionne le fichier que tu veux heberger et clique sur Ouvrir 
*Clique sur le bouton Envoyer 
* Un message de confirmation s'affiche, copie le lien dans ta prochaine réponse.
@+

kokujin-sev · Answer

Ok merci le voilà :

http://pjjoint.malekal.com/files.php?id=f6eecc197c13136

Utilisateur anonyme · Answer

Bonjour,

Ton PC est bien infecté !

Commençant par ceci :

* Télécharge de AD-Remover sur ton Bureau. 
http://www.teamxscript.org/adremoverTelechargement.html 

/!\ Ferme toutes applications en cours /!\ 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « Nettoyer » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c

@+

kokujin-sev · Answer

Le voici :
http://pjjoint.malekal.com/files.php?id=c5c2a945341469

Utilisateur anonyme · Answer

Re,  
1/ 

*Télécharges Malwarebytes' (mbam)   

ICI >> Malwarebytes' (mbam)   

* installes + mise a jour   
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir   
* Lances--> Malwarebytes (MBAM)   
* Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet   
* puis "Rechercher"   
* Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"   
* A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport   
*Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection   
* S'il t' es demandé de redémarrer, clique sur "oui "   
* aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici   
!!! Ne pas vider la quarantaine de MBAM sans avis !!!  

2/ 
search setting n'est pas supprimé par AD-Remover, pour cela  

stp refais ceci : 

/!\ Ferme toutes applications en cours /!\ 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « chercher » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c  

Le rapport n'est pas long, tu peux le copier ici :) 


@+  

H.F.  :  Fish66

kokujin-sev · Answer

Voilà le premier rapport:

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 6352

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

13/04/2011 23:49:36
mbam-log-2011-04-13 (23-49-17).txt

Type d'examen: Examen complet (C:\|D:\|G:\|H:\|)
Elément(s) analysé(s): 453281
Temps écoulé: 4 heure(s), 23 minute(s), 35 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 7
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 14

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default) -> No action taken.
HKEY_CLASSES_ROOT\secfile\shell\open\command\(default) (Rogue.MultipleAV) -> Value: (default) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Gqigohu (Trojan.Agent.U) -> Value: Gqigohu -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wuaucldt (Trojan.Agent) -> Value: wuaucldt -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\engel (Backdoor.Bot) -> Value: engel -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\Users\Alice\AppData\Roaming\microsoft\Windows\start menu\Programs\windows restore (Trojan.FakeAlert) -> No action taken.

Fichier(s) infecté(s):
c:\program files\ad-remover\quarantine\C\program files\mozilla firefox\extensions\{01398b87-61af-4ffb-9ab5-1a1c5fb39a9c}\components\dealiotoolbarff.dll.vir (Adware.WidgiToolbar) -> No action taken.
c:\Users\Alice\documents\mes fichiers\guitar.pro.5.2+rse.guitar+bass+drums.www.cw-network.info\guitar pro_5.2.0&add-ons\guitar pro_5.2.0\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
c:\Users\Alice\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\2YYSSDUW\ivizm[1].htm (Malware.Gen) -> No action taken.
c:\Users\Alice\AppData\Local\Temp\err.log340356881 (Malware.Gen) -> No action taken.
c:\Users\Alice\AppData\Local\Temp\csxneroawm.exe (Trojan.Hiloti.Gen) -> No action taken.
c:\Users\Alice\AppData\Local\Temp\Uni000.exe (Trojan.Agent) -> No action taken.
c:\Users\Alice\AppData\Local\Temp\internetexplorerupdate.exe (Trojan.Agent.Gen) -> No action taken.
c:\Users\Alice\AppData\Roaming\Adobe\plugs\mmc340369642.txt (Malware.Gen) -> No action taken.
g:\musique - world\patch office - sof-26\mini-kms_activator_v1.052.exe (Riskware.Keygen) -> No action taken.
g:\documents\mes fichiers\guitar.pro.5.2+rse.guitar+bass+drums.www.cw-network.info\guitar pro_5.2.0&add-ons\guitar pro_5.2.0\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
c:\Users\Alice\AppData\Roaming\Adobe\adobeutil .exe (Trojan.Agent.Gen) -> No action taken.
c:\Users\Alice\AppData\Roaming\microsoft\Windows\start menu\Programs\windows restore\uninstall windows restore.lnk (Trojan.FakeAlert) -> No action taken.
c:\Users\Alice\AppData\Roaming\microsoft\Windows\start menu\Programs\windows restore\windows restore.lnk (Trojan.FakeAlert) -> No action taken.
c:\Users\Alice\AppData\Roaming\updates\updates.exe (Backdoor.Bot) -> No action taken.


Mais il n'y a pas "chercher" tu voulais dire "scanner"?

Utilisateur anonyme · Answer

Bonjour, 

1/ 
Les infection ne sont pas supprimées, pour cela : lance de nouveau  

Malwarebytes pour une analyse complète, à la fin de l'analyse fais ceci: 

    * Clique sur le bouton Affichier les résultats en bas pour afficher les éléments détectés 
    * Les éléments détectés apparaissent sous forme de liste. 
    * Ces derniers sont tous cochés, puis on les supprime en cliquant sur le bouton Supprimer la sélection en bas à gauche. 

2/ 
Oui "Scanner"  ("Scanner ou "Chercher" c'est pareil  :)) 

@+ 
H.F.  :  Fish66

kokujin-sev · Answer

Ah ok mais j'avais tout supprimé, le truc c'est qu'il me demandait de rallumer avant que ça soit fini.

Utilisateur anonyme · Answer

Re,

Quel truc que tu as supprimé ?

L'essentiel c'est de refaire tous que je t'ai dit et si tu rencontreras des problèmes, n'hésite pas à me les dire pour avancer et terminer  la désinfection :)
stp, ne supprime rien on va s'occuper de tous
@+

kokujin-sev · Answer

Oki, encore le rapport :

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 6352

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

14/04/2011 18:02:57
mbam-log-2011-04-14 (18-02-57).txt

Type d'examen: Examen complet (C:\|D:\|G:\|)
Elément(s) analysé(s): 453530
Temps écoulé: 3 heure(s), 37 minute(s), 22 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Alice\AppData\Local\Temp\webfactmediaplayer2cdstartup\bin\cdstartupmenu.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Re,

Stp, fais ceci :

Attention, avant de commencer, lit attentivement la procédure 

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\ 

? Fais un clic droit sur ce lien, enregistre le dans ton bureau 

Voici Aide combofix 


? /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\ 
 

? Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven) 

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

? ? SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 
(si il te propose de l'installer remets internet) 

? Mets-le en langue française F 

? Tape sur la touche 1 (Yes) pour démarrer le scan. 


? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

?En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

? Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

? ? /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

? Note : Le rapport se trouve également là : C:\ComboFix.txt  

@+

kokujin-sev · Answer

Re! Euh je n'ai pas vu de console de récupération... Mais voici le rapport:

http://pjjoint.malekal.com/files.php?id=089dbafeda121412

Les fichiers ne sont plus cachés ;) Par contre internet est assez lent, ça fait souvent (Ne répond pas)

Utilisateur anonyme · Answer

Re,

Maintenant stp un nouveau rapport ZHPDiag comme expliqué ICI

@+

juju666 · Answer

Suite à la demande de Marmar66, faire ceci avant le ZHPDiag :

&#9654 &#9654 DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE 

&#9654 Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 


https://forums.commentcamarche.net/forum/affich-21807869-diagnostic-d-un-pc-infecte
KillAll::

File::
c:\users\Alice\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mousedriver.exe 

Suspect::
c:\programdata\cEi32401nFiAa32401
c:\users\Alice\AppData\Local\Windows
c:\users\Alice\AppData\Local\Server 

DirLook::
c:\programdata\cEi32401nFiAa32401
c:\users\Alice\AppData\Local\Windows
c:\users\Alice\AppData\Local\Server 

Driver::
KMService

netsvc::
ezSharedSvc 

RegLock::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Norton Internet Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49}]

Reboot::


&#9654 Enregistre ce fichier sous le nom CFScript 

&#9654 Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif 

&#9654 Combofix se lance, laisse toi guider.. 

&#9654 Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! 
Ne touche à rien tant que le scan n'est pas terminé. 
&#9654 Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis 

&#9654 Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt  

=================================

Est-ce toi qui a installé un proxy ?

kokujin-sev · Answer

Coucou!
Voilà:
http://pjjoint.malekal.com/files.php?id=c554e46f86151214
Et internet refonctionne correctement ;)

kokujin-sev · Answer

Ouuups, j'ai mis trop de temps à le faire... Il y a eu un problème, j'ai du faire une restauration... Cette fois-ci, je ferai tout d'un coup, désolée. Qu'est-ce que je dois refaire? Des dossiers sont de nouveau cachés...

juju666 · Answer

TOUT


càd : RogueKiller option 2 et 6
Malwarebytes
ComboFix

juju666 · Answer

non, vous ne l'avez pas utilisé; je te met ce qu'il faut faire:

1/

&#9654 Télécharge sur le bureau RogueKiller  (par tigzy)   

&#9654 &#9654 Sous Windows XP, double clic gauche   

&#9654 &#9654  Sous Vista/Seven, clique droit, lancer en tant qu'administrateur   

&#9654 Quitte tous tes programmes en cours   
&#9654 Lance RogueKiller.exe.   
&#9654 Un scan se lance, puis tu verra d'indiqué dans la fenêtre  
&#9654 &#9654 1. Scan (écrit en vert) 
&#9654 &#9654 2. Delete (écrit en rouge)  
&#9654 &#9654 3. Hosts RAZ (écrit en rouge)  
&#9654 &#9654 4. Proxy RAZ (écrit en rouge) 
&#9654 &#9654 5. DNS RAZ (écrit en rouge) 
&#9654 &#9654 6. Raccourcis RAZ (écrit en rouge) 
&#9654  A ce moment tape 2 et valide   
Note: s'il te demande de supprimer le proxy, tape 4   
&#9654 Un rapport (RKreport1.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse 
&#9654 Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe 

==================

relance roguekiller option 6 colle son rapport

==================

2/

&#9654 Télécharge Malwarebytes' Anti-Malware  et enregistre le sur ton bureau.  

&#9654 &#9654 Miroir 1 si inaccessible  

&#9654 &#9654 Miroir 2 si inaccessible 

&#9654 &#9654 /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »  

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation.  
&#9654 Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour  
&#9654 si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte  
&#9654  Une fois la mise à jour terminée  
&#9654 rends-toi dans l'onglet Recherche 
&#9654 Sélectionne Exécuter un examen complet 
&#9654 Clique sur Rechercher  
&#9654 &#9654 Le scan démarre.  
&#9654 A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.  
&#9654 Clique sur Ok pour poursuivre.  
&#9654 Si des malwares ont été détectés, cliques sur Afficher les résultats 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
&#9654 Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

&#9654 &#9654  Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!  
&#9654 Une fois le PC redémarré, rends toi dans l'onglet rapport/log  
&#9654 Tu clique dessus pour l'afficher, une fois affiché  
&#9654 Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

Si tu as besoin d'aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/   

&#9654 &#9654 Si tu n'arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

=================================

3/

&#9654  Télécharge de AD-Remover sur ton Bureau. (TeamXScript) 

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel ) 
OU 
https://www.androidworld.fr/ ( Miroir ) 

/!\ Ferme toutes applications en cours /!\ 

&#9654 Double-clique sur l'icône Ad-remover située sur ton Bureau. 
&#9654 Sur la page, clique sur le bouton « Nettoyer» 
&#9654 Confirme lancement du scan 
ton bureau va disparaître c'est normal
&#9654 Laisse travailler l'outil et redémarre le pc
&#9654 Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN[1].txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)  

==============================

Attention, avant de commencer, lit attentivement la procédure, et imprime la  

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau

&#9654 Lance le

&#9654 Une fenêtre apparait : clique sur "Disable"

&#9654 Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\  
tutoriel combofix  

&#9654 Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

&#9654 /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  

&#9654 Double-clique sur ComboFix.exe  
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

&#9654 &#9654 SI TU ES SOUS WINDOWS XP, SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION  
(s'il te propose de l'installer remets internet)  

&#9654 Mets-le en langue française F  

&#9654 Tape sur la touche 1 (Yes) pour démarrer le scan.  
  

&#9654 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

&#9654En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

&#9654 Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

&#9654 &#9654 /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

&#9654 Note : Le rapport se trouve également là : C:\ComboFix.txt

kokujin-sev · Answer

Merci! Voici les rapports roguekiller 2 RogueKiller V4.3.9 [16/04/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur: Alice [Droits d'admin] Mode: Suppression -- Date : 21/04/2011 16:13:03 Processus malicieux: 0 Entrees de registre: 4 [APPDT/TMP/DESKTOP] HKCU\[...]\Run : vVTKvjYbBVaNeSx (C:\ProgramData\vVTKvjYbBVaNeSx.exe) -> DELETED [APPDT/TMP/DESKTOP] HKCU\[...]\Run : conhost (C:\Users\Alice\AppData\Roaming\Microsoft\conhost.exe) -> DELETED [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> NOT REMOVED, USE PROXYFIX [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:57859) -> NOT REMOVED, USE PROXYFIX Fichier HOSTS: 127.0.0.1 localhost ::1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt et roguekiller 6 RogueKiller V4.3.9 [16/04/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur: Alice [Droits d'admin] Mode: Raccourcis RAZ -- Date : 21/04/2011 16:15:06 Processus malicieux: 0 Attributs de fichiers restaures: Bureau: Success 16 / Fail 0 Lancement rapide: Success 10 / Fail 0 Programmes: Success 1 / Fail 0 Menu demarrer: Success 44 / Fail 0 Dossier utilisateur: Success 682 / Fail 128 Mes documents: Success 276 / Fail 3 Mes favoris: Success 2 / Fail 1 Mes images: Success 1 / Fail 3 Ma musique: Success 1 / Fail 0 Mes videos: Success 1 / Fail 0 Disques locaux: Success 4526 / Fail 5 Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt Problème: quand j'appuie sur recherche des mises à jour sur Malwarebytes' Anti-malware, le message apparait : "ne erreur s'es tproduite. Veuillez transmettre ce code d'erreur à notre équipe de support. PROGRAM_ERROR_UPDATING (12007, 0, WinHttpSendRequest)

juju666 · Answer

OK.

Relance RogueKiller Option 4 (PROXYFIX)
Poste le nouveau rapport.

Pour la mise à jour de MBAM:

? ? Si tu n'arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

kokujin-sev · Answer

Le new rapport: RogueKiller V4.3.9 [16/04/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur: Alice [Droits d'admin] Mode: Proxy RAZ -- Date : 21/04/2011 16:40:54 Processus malicieux: 0 Entrees de registre: 2 [PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> REPLACED (0) [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:57859) -> DELETED Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt "? ? Si tu n'arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le" oui je l'ai fait donc plus besoin de rechercher les mises à jour ensuite sur Malwarebytes anti-malware c'est ça?

juju666 · Answer

ouaip, lance une analyse complète avec

kokujin-sev · Answer

Re bonjour! ;)

La rapport ad-remover:

http://pjjoint.malekal.com/files.php?id=c91a776d90121115

Et celui de combofix:

http://pjjoint.malekal.com/files.php?id=40ec6edaed6711

juju666 · Answer

&#9654 &#9654 DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE  

&#9654 Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :  


https://forums.commentcamarche.net/forum/affich-21807869-diagnostic-d-un-pc-infecte 
KillAll:: 

File:: 
c:\users\Alice\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mousedriver.exe  

Suspect:: 
c:\programdata\cEi32401nFiAa32401 
c:\users\Alice\AppData\Local\Windows 
c:\users\Alice\AppData\Local\Server  

DirLook:: 
c:\programdata\cEi32401nFiAa32401 
c:\users\Alice\AppData\Local\Windows 
c:\users\Alice\AppData\Local\Server  

Driver:: 
KMService 

netsvc:: 
ezSharedSvc  

RegLock:: 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Norton Internet Security] 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49}] 

Reboot:: 


&#9654 Enregistre ce fichier sous le nom CFScript  

&#9654 Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif  

&#9654 Combofix se lance, laisse toi guider..  

&#9654 Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!  
Ne touche à rien tant que le scan n'est pas terminé.  
&#9654 Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis  

&#9654 Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

kokujin-sev · Answer

Une fenêtre apparait : "Combofix.exe a besoin de soumettre les malwares à des analyses plus poussées. Merci de vous assurer que votre PC est connecté à l'Internet" je fais quoi?

kokujin-sev · Answer

Pfff, ça m'envoie sur ça:
http://www.bleepingcomputer.com/pf.php

juju666 · Answer

as tu un rapport à me montrer?
C:\ComboFix.txt

kokujin-sev · Answer

Ouep, voili voilou:

http://pjjoint.malekal.com/files.php?id=166beedc49956

Firefox est assez lent... Et quelques fichiers sont encore cachés.

juju666 · Answer

désolé du retard 

&#9654 Télécharge SEAF (de C_XX) sur ton Bureau.  
&#9654  Lance SEAF  
&#9654  Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires" et "Chercher également dans le Registre"  
&#9654  Tape userinit.exe  dans le champs de recherche, clique sur "Lancer la recherche" et patiente.  
&#9654  Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche. 

==============================

 Désactive ton antivirus car l''outil est détecté à tort comme infectieux 

Télécharge ForceMove de Juju666    

Exécute le.  
Colle ça dans le fichier texte INSTRUCTIONS_SVP qui s''ouvre:    


c:\programdata\cEi32401nFiAa32401
c:\users\Alice\AppData\Local\Server
c:\users\Alice\AppData\Local\Windows 


Ferme le fichier texte. Accepte la modification par Oui.    

Une infobulle t''avertira que tout sera fermé. Accepte par Ok    

Poste le contenu du rapport qui s''ouvrira à terme  (s''il ne s''ouvre pas, il se trouve à C:\forcemovelog.txt)  

Si ton bureau ne réapparait pas fais ceci :
Ctrl + Alt + Delete > Fichier > Nouvelle tache > Exécuter > tape explorer.exe et valide
 .::. Contributeur Sécurité .::.