Bonjour, aprés analyse avec avast voilà le problème ainsi que win 32 rootkit -gen j'ai besoin de votre aide car je ne sais pas lire les rapports j'ai essayé de mettre en quarantaine mais impossible ordi se bloque merci Configuration: Windows XP / Safari 534.16

Help infecté par win 32 zwangi-BE [Résolu]

Réponse 1 / 21

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
15 avril 2011 à 20:24

bonjour,

Est-ce que tu peux poster le rapport d'Avast.
Sinon, on va faire un diagnostic de ton PC:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.

Smart

Réponse 2 / 21

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
15 avril 2011 à 21:40

Première chose, tu peux désinstaller Spybot, il n'est plus d'actualité aujourd'hui et ne fait que ralentir ton PC.

Tu as des barres d'outils infectées et autres adwares, pour ton information lis le dossier ci-dessous:
Les Toolbars ce n'est pas obligatoires
Il ya aussi des restes d'antivirus qui ne servent à rien. On s'en occupera plus tard

Tu vas faire ceci:

- Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
- Laisse travailler l'outil et ne touche à rien ...
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Ensuite ceci:

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très imortant
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Cela fait deux rapports à poster. Tu peux le faire directement dans ta réponse

Smart

Réponse 3 / 21

krolafoto Messages postés 5 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 16 avril 2011
15 avril 2011 à 21:16

merci de ton aide voici le lien
http://www.cijoint.fr/cjlink.php?file=cj201104/cij0eYVjdC.txt
j espère avoir tout bien fait

Réponse 4 / 21

krolafoto Messages postés 5 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 16 avril 2011
15 avril 2011 à 22:39

voici premier rapport

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 22:13:59 le 15/04/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Utilisateur@CHABAUD-653B7B9 ( )

============== ACTION(S) ==============

Service: "Application Updater" Stoppé et supprimé

Dossier supprimé: C:\Program Files\Application Updater
Dossier supprimé: C:\Documents and Settings\Utilisateur\Application Data\pdfforge
Dossier supprimé: C:\Documents and Settings\KéVIN\Application Data\pdfforge
Dossier supprimé: C:\Program Files\pdfforge Toolbar
Dossier supprimé: C:\Documents and Settings\All Users\Application Data\QuestBrwSearch
Dossier supprimé: C:\Program Files\QuestBrwSearch
Dossier supprimé: C:\Documents and Settings\Utilisateur\Application Data\Search Settings
Dossier supprimé: C:\Documents and Settings\KéVIN\Application Data\Search Settings
Dossier supprimé: C:\Documents and Settings\KéVIN\Application Data\ShoppingReport2
Dossier supprimé: C:\Program Files\Fichiers communs\Spigot
Dossier supprimé: C:\Documents and Settings\Utilisateur\Application Data\OfferBox
Dossier supprimé: C:\Documents and Settings\KéVIN\Application Data\OfferBox

(!) -- Fichiers temporaires supprimés.

Clé supprimée: HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
Clé supprimée: HKLM\Software\Classes\Interface\{981334CB-7B8B-431F-B86D-67B7426B125B}
Clé supprimée: HKLM\Software\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}
Clé supprimée: HKLM\Software\Application Updater
Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKLM\Software\pdfforge
Clé supprimée: HKLM\Software\QuestBrowse
Clé supprimée: HKLM\Software\Search Settings
Clé supprimée: HKCU\Software\freeCompressor
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKCU\Software\Spointer
Clé supprimée: HKCU\Software\AppDataLow\Software\pdfforge
Clé supprimée: HKCU\Software\AppDataLow\Software\Search Settings
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ClickPotato
Clé supprimée: HKLM\Software\Classes\Installer\Products\7A931B0A5D8E8E947AFB2124E1562280
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\7A931B0A5D8E8E947AFB2124E1562280
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\QuestBrowse
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1602F07D-8BF3-4C08-BDD6-DDDB1C48AEDC}
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}

============== SCAN ADDITIONNEL ==============

-- C:\Documents and Settings\KéVIN\Application Data\Mozilla\FireFox\Profiles\3bi77f7k.default --
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.12

========================================

**** Google Chrome Version [10.0.648.205] ****

Extension\ihflimipbcaljfnojhhknppphnnciiif (C:\Program Files\facemoods.com\facemoods\1.3.62.1\facemoods.crx) (?)

-- C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage:
Preferences - homepage_is_newtabpage: true
Plugin - ArtistScope DRM plugin 1 (Activé: true) (C:\Program Files\Mozilla Firefox\plugins\npArtistScopeDRM11.dll)
Plugin - "ArtistScope DRM plugin 1" (Activé: true)
Plugin - "Yahoo! activeX Plug-in Bridge" (Activé: true)

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{B922D405-6D13-4A2B-AE89-08A030DA4402} (x)
HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} - "Search Class" (C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll)
HKLM_ElevationPolicy\{F2DD9BC5-3851-4766-9F67-A627B3C053DD} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe (Logitech Inc.)
HKLM_Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{64182481-4F71-486b-A045-B233BD0DA8FC} - "CescrtHlpr Object" (C:\Program Files\facemoods.com\facemoods\1.3.62.1\facemoods.dll)
BHO\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - "SSVHelper Class" (C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll)
BHO\{bf00e119-21a3-4fd1-b178-3b8537e75c92} - "IeMonitorBho Class" (C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 38 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 15/04/2011 22:17:41 (5355 Octet(s))

Fin à: 22:18:52, 15/04/2011

============== E.O.F ==============

Réponse 5 / 21

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
15 avril 2011 à 23:51

OK. Tu peux relancer AD-Remover et choisir "Désinstaller"
Ensuite j'attends le rapport MBAM

Smart

Réponse 6 / 21

krolafoto Messages postés 5 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 16 avril 2011
16 avril 2011 à 06:34

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6370

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16/04/2011 06:27:09
mbam-log-2011-04-16 (06-27-09).txt

Type d'examen: Examen complet (C:\|E:\|)
Elément(s) analysé(s): 226569
Temps écoulé: 56 minute(s), 22 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{258C9770-1713-4021-8D7E-1F184A2BD754} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{BDEA95CF-F0E6-41E0-BD3D-B00F39A4E939} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QUESTBROWSE_SERVICE (Adware.QuestBrowse) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\documents and settings\all users\menu démarrer\programmes\pcprivacycleaner (Rogue.PCPrivacyCleaner) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\program files\ad-remover\quarantine\C\program files\questbrwsearch\uninstall.exe.vir (Adware.QuestBrowse) -> Quarantined and deleted successfully.
c:\system volume information\_restore{a8847fbf-7a22-4ae7-9809-fc52aea8854b}\RP1406\A0248063.exe (Adware.QuestBrowse) -> Quarantined and deleted successfully.
c:\system volume information\_restore{a8847fbf-7a22-4ae7-9809-fc52aea8854b}\RP1406\A0248069.exe (Adware.QuestBrowse) -> Quarantined and deleted successfully.
c:\system volume information\_restore{a8847fbf-7a22-4ae7-9809-fc52aea8854b}\RP1415\A0251852.dll (Adware.SmartShopper) -> Quarantined and deleted successfully.
c:\system volume information\_restore{a8847fbf-7a22-4ae7-9809-fc52aea8854b}\RP1416\A0251940.exe (Adware.QuestBrowse) -> Quarantined and deleted successfully.
c:\system volume information\_restore{a8847fbf-7a22-4ae7-9809-fc52aea8854b}\RP1418\A0252032.exe (Adware.QuestBrowse) -> Quarantined and deleted successfully.
c:\system volume information\_restore{a8847fbf-7a22-4ae7-9809-fc52aea8854b}\RP1418\A0252033.exe (Adware.QuestBrowse) -> Quarantined and deleted successfully.
c:\system volume information\_restore{a8847fbf-7a22-4ae7-9809-fc52aea8854b}\rp1432\a0253218.exe (Adware.Agent.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{a8847fbf-7a22-4ae7-9809-fc52aea8854b}\RP1432\A0253227.exe (Adware.QuestBrowse) -> Quarantined and deleted successfully.
c:\documents and settings\all users\menu démarrer\programmes\pcprivacycleaner\pcprivacycleaner.lnk (Rogue.PCPrivacyCleaner) -> Quarantined and deleted successfully.

Réponse 7 / 21

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
16 avril 2011 à 11:41

Relance MBAM et vide la quarantaine.

Refais un scan ZHPDiag et poste le rapport via cijoint

Smart

Réponse 8 / 21

krolafoto Messages postés 5 Date d'inscription vendredi 15 avril 2011 Statut Membre Dernière intervention 16 avril 2011
16 avril 2011 à 13:16

je pars pour 1 semaine de vacance rdv lundi prochain si tu veux bien
merci encore de ton aide précieuse

Réponse 9 / 21

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
16 avril 2011 à 17:35

Il faut poster le rapport via cijoint comme demandé, car il est trop long.

Bonnes vacaces

Smart

Réponse 10 / 21

krolafoto
23 avril 2011 à 08:07

coucou me revoilà de passage je viens de refaire malware examen complet voici le résultat Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6370

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22/04/2011 23:42:25
mbam-log-2011-04-22 (23-42-25).txt

Type d'examen: Examen complet (C:\|E:\|)
Elément(s) analysé(s): 225057
Temps écoulé: 52 minute(s), 32 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Réponse 11 / 21

krolafoto
23 avril 2011 à 08:18

voici la suite
http://www.cijoint.fr/cjlink.php?file=cj201104/cijUh5i4j6.txt

Réponse 12 / 21

krolafoto
23 avril 2011 à 08:21

tu me dis de désinstaller spybot mais je n'ai pas réussi à le trouver !!!!???

Réponse 13 / 21

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Smart91 le 23/04/2011 à 23:02

Il y a encore des restes. Pour Spybot je le metterais dans le script

Tu vas faire ceci:
- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
R3 - URLSearchHook: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} Clé orpheline
O42 - Logiciel: pdfforge Toolbar v4.3 - (.Spigot, Inc..) [HKLM] -- {A0B139A7-E8D5-49E8-A7BF-12421E652208}
O43 - CFD: 07/10/2010 - 14:11:52 - [0] ----D- C:\Program Files\FreeCompressor
O43 - CFD: 07/10/2010 - 14:10:40 - [126992] ----D- C:\Documents and Settings\Utilisateur\Local Settings\Application Data\freecompressor Air
O43 - CFD: 07/10/2010 - 14:06:42 - [615] ----D- C:\Documents and Settings\Utilisateur\Application Data\freeCompressor
O43 - CFD: 07/10/2010 - 14:06:42 - [615] ----D- C:\Documents and Settings\Utilisateur\Application Data\freeCompressor
O43 - CFD: 07/10/2010 - 14:10:40 - [126992] ----D- C:\Documents and Settings\Utilisateur\Local Settings\Application Data\freecompressor Air
C:\Program Files\FreeCompressor
O43 - CFD: 15/10/2010 - 17:30:22 - [8139002] ----D- C:\Program Files\Spybot - Search & Destroy
O43 - CFD: 21/12/2010 - 19:45:34 - [605014] ----D- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

Smart

"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Réponse 14 / 21

krolafoto
23 avril 2011 à 22:19

Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-23-04-2011-22-18-48.txt
Run by Utilisateur at 23/04/2011 22:18:48
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
O42 - Logiciel: pdfforge Toolbar v4.3 - (.Spigot, Inc..) [HKLM] -- {A0B139A7-E8D5-49E8-A7BF-12421E652208} => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
R3 - URLSearchHook: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} Clé orpheline => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\FreeCompressor => Supprimé et mis en quarantaine
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\freecompressor Air => Supprimé et mis en quarantaine
C:\Documents and Settings\Utilisateur\Application Data\freeCompressor => Supprimé et mis en quarantaine
C:\Program Files\Spybot - Search & Destroy => Supprimé et mis en quarantaine
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\program files\freecompressor => Fichier absent

========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Valeur(s) du Registre
5 : Dossier(s)
1 : Fichier(s)

End of the scan

Réponse 15 / 21

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
23 avril 2011 à 23:04

OK Refais un sacn ZHPdiag et poste le rapport via cijoint
Ensuite on va passer à la phase finale. il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart

Réponse 16 / 21

krolafoto
23 avril 2011 à 23:13

http://www.cijoint.fr/cjlink.php?file=cj201104/cijzZxFA4q.txt

Réponse 17 / 21

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
23 avril 2011 à 23:23

OK. Fais les mises à jour suivantes:

Mise à jour vers Adobe 10.0.&
Lance Adobe Reader > Clique sur Aide puis recherche des mises à jour

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour

Optimisation:

- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM] -- {2318C2B1-4965-11d4-9B18-009027A5CD4F}
O64 - Services: CurCS - (.not file.) - 3bfb0b68 (3bfb0b68) .(...) - LEGACY_3BFB0B68
OPT:O4 - HKLM\..\Run: [NeroFilterCheck] . (.Ahead Software Gmbh - NeroCheck.) -- C:\WINDOWS\system32\NeroCheck.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Computer, Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-790525478-1844823847-839522115-1004\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
OPT:O4 - HKUS\S-1-5-21-790525478-1844823847-839522115-1004\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
CTFDisabled
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

1. Désinstallation des outils

- Télécharge DelFix (d'Xplode) sur ton bureau.
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Sélectionne Suppression
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).

3. Désactiver la restauration système et céer un point de restauration
Dans la barre des tâches de Windows, clique sur Démarrer.
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
Clique sur Appliquer.
Ensuite décoche "Désactiver la restauration du systeme"
Clique sur appliquer puis ok
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.

Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
==> http://www.mozilla-europe.org/fr/firefox/

Une fois que c'est fait, lance le et installe l'extension de sécurité adblock plus
pour bloquer les publicités
==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Par rapport au P2P : http://www.libellules.ch/...

- Les logiciels gratuits à éviter

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart

Réponse 18 / 21

krolafoto
24 avril 2011 à 00:24

Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-24-04-2011-00-22-39.txt
Run by Utilisateur at 24/04/2011 00:22:39
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM] -- {2318C2B1-4965-11d4-9B18-009027A5CD4F} => Logiciel supprimé avec succès

========== Clé(s) du Registre ==========
O64 - Services: CurCS - (.not file.) - 3bfb0b68 (3bfb0b68) .(...) - LEGACY_3BFB0B68 => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [NeroFilterCheck] . (.Ahead Software Gmbh - NeroCheck.) -- C:\WINDOWS\system32\NeroCheck.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Computer, Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-790525478-1844823847-839522115-1004\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe => Valeur absente
O4 - HKUS\S-1-5-21-790525478-1844823847-839522115-1004\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe => Valeur absente

========== Elément(s) de donnée du Registre ==========
CTFDisabled => Donnée supprimée avec succès

========== Récapitulatif ==========
1 : Clé(s) du Registre
8 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Logiciel(s)

End of the scan

Réponse 19 / 21

krolafoto
24 avril 2011 à 00:26

# DelFix v7.7B - Rapport créé le 24/04/2011 à 00:25
# Mis à jour le 15/04/11 à 19h30 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Utilisateur - CHABAUD-653B7B9 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Utilisateur\Mes documents\Downloads\DelFix.exe
# Option [Suppression]

~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\_OTL
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\TCleaner.txt
Supprimé : C:\ZHPExportRegistry-23-04-2011-22-18-48.txt
Supprimé : C:\ZHPExportRegistry-24-04-2011-00-22-39.txt
Supprimé : C:\JavaRa.log
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\WINDOWS\System32\tmp.txt
Supprimé : C:\Documents and Settings\Utilisateur\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Utilisateur\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
Supprimé : C:\Documents and Settings\Utilisateur\Mes documents\Téléchargements\OTL(10).exe
Supprimé : C:\Documents and Settings\Utilisateur\Mes documents\Téléchargements\OTL(2).exe
Supprimé : C:\Documents and Settings\Utilisateur\Mes documents\Téléchargements\OTL(3).exe
Supprimé : C:\Documents and Settings\Utilisateur\Mes documents\Téléchargements\OTL(4).exe
Supprimé : C:\Documents and Settings\Utilisateur\Mes documents\Téléchargements\OTL(5).exe
Supprimé : C:\Documents and Settings\Utilisateur\Mes documents\Téléchargements\OTL(6).exe
Supprimé : C:\Documents and Settings\Utilisateur\Mes documents\Téléchargements\OTL(7).exe
Supprimé : C:\Documents and Settings\Utilisateur\Mes documents\Téléchargements\OTL(8).exe
Supprimé : C:\Documents and Settings\Utilisateur\Mes documents\Téléchargements\OTL(9).exe
Supprimé : C:\Documents and Settings\Utilisateur\Mes documents\Téléchargements\OTL.exe
Supprimé : C:\Documents and Settings\Utilisateur\Mes documents\Downloads\ZHPDiag2.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
ACL [0] -> [7] & Clé Supprimée : HKLM\SOFTWARE\Swearware

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [3082 octets] ##########

Réponse 20 / 21

krolafoto
24 avril 2011 à 00:37

voilà merci bcp je viens de créer point de restauration et suivrai tes conseils pour le reste
j'ai une question tu me conseilles d'installer mozilla mais que dois je faire de google et internet explorer ? je supprime de l'ordi?

Help infecté par win 32 zwangi-BE

21 réponses

Discussions similaires

Newsletters