comment supprimer Worm:Win32/Ainslot.ARésolu/Fermé

Question

Bonjour, 

j'ai acheté il y a 2 semaines un pc portable asus qui a été piraté rapidement par le virus Win32/Ainslot.A (le pirate me parlait via une fenetre de dialogue et me voyait a la cam!!)
J'ai installé windows essentials security et spyware terminator, mais le virus revient tous les jours,

comment le supprimer définitivement de façon pas trop complexe...?

merci d'avance pour votre aide précieuse...

voici le rapport hijackthis (qui m'a mis un message d'erreur mais je crois qu'il a tout copier) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:53:27, on 20/04/2011
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16766)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe
C:\Program Files (x86)\syncables\syncables desktop\syncables.exe
C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorUpdate.exe
C:\Program Files (x86)\syncables\syncables desktop\jre\bin\javaw.exe
C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe
C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe
C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe
C:\Program Files (x86)\ASUS\Wireless Console 3\wcourier.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorShield.Exe
C:\Windows\AsScrPro.exe
C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\PROGRA~2\Crawler\Toolbar\CToolbar.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Users\Doriane\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://asus.msn.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60347
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: &Crawler Toolbar Helper - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~2\Crawler\Toolbar\ctbr.dll
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: &Crawler Toolbar Helper - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~2\Crawler\Toolbar\ctbr.dll
O2 - BHO: Partner BHO Class - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} - C:\ProgramData\Partner\Partner.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~2\Crawler\Toolbar\ctbr.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [RemoteControl9] "C:\Program Files (x86)\Cyberlink\PowerDVD9\PDVD9Serv.exe"
O4 - HKLM\..\Run: [UpdatePSTShortCut] "C:\Program Files (x86)\Cyberlink\DVD Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\Cyberlink\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"
O4 - HKLM\..\Run: [UpdateLBPShortCut] "C:\Program Files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\CyberLink\LabelPrint" UpdateWithCreateOnce "Software\CyberLink\LabelPrint\2.5"
O4 - HKLM\..\Run: [UpdateP2GoShortCut] "C:\Program Files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe
O4 - HKLM\..\Run: [HControlUser] C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [Wireless Console 3] C:\Program Files (x86)\ASUS\Wireless Console 3\wcourier.exe
O4 - HKLM\..\Run: [NeroCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [Syncables] C:\Program Files (x86)\syncables\syncables desktop\Syncables.exe
O4 - HKCU\..\Run: [comm] "C:\Users\Doriane\AppData\Roaming\comm.exe"
O4 - HKCU\..\Run: [meltdr.exe] C:\Users\Doriane\AppData\Local\Temp\meltdr.exe
O4 - HKCU\..\Run: [SpywareTerminatorUpdate] "C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorUpdate.exe"
O4 - HKCU\..\Run: [dot.exe] C:\Users\Doriane\AppData\Local\Temp\dot.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-18\..\Run: [SpywareTerminatorUpdate] "C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorUpdate.exe" (User 'Système')
O4 - HKUS\.DEFAULT\..\Run: [SpywareTerminatorUpdate] "C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorUpdate.exe" (User 'Default user')
O4 - Global Startup: FancyStart daemon.lnk = ?
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix: 
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~2\Crawler\Toolbar\ctbr.dll
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: AFBAgent - Unknown owner - C:\Windows\system32\FBAgent.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: ASLDR Service (ASLDRService) - ASUS - C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - ASUS - C:\Program Files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32
etlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Partner Service - Google Inc. - C:\ProgramData\Partner\Partner.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files (x86)\Spyware Terminator\sp_rsser.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Intel(R) Management & Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

Xplode · Answer

Hello,

T'es effectivement infecté, ça se voit du premier coup d'oeil, cependant il me faut un rapport plus détaillé..

&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655; ZHPDiag &#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;


&#9672; Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

&#9672; Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\ 

&#9672; Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau.

Note : Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur "

&#9672; Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

&#9672; Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

&#9672; Rend toi sur cjoint puis clique sur " Parcourir ".

&#9672; Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

&#9672; Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.

justyne73 · Answer

merci pour cette réactivité, si j'ai bien fait les choses voilà le lien:

	https://www.cjoint.com/?ADvn47w6Bgn

Xplode · Answer

Je te conseille vivement de changer tout tes mots de passe ( adresse email, compte bancaire etc.. ) car à mon avis ton "pirate" a du tous les récupérer :-/ 

On va déjà supprimer le plus gros : 

?????????? ZHPFix ?????????? 


/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\ 

? Copie le texte en gras ci-dessous ( CTRL + C pour copier ) 

 
O47 - AAKE:Key Export SP - "C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe" [Enabled] .(.Microsoft Corporation - Visual Basic Command Line Compiler.) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe   
O47 - AAKE:Key Export SP - "C:\Users\Doriane\AppData\Roaming\servernocrypt.exe" [Enabled] .(.Microsoft Corporation - Visual Basic Command Line Compiler.) -- C:\Users\Doriane\AppData\Roaming\servernocrypt.exe    
[MD5.AEEC0405A1C587562275AB20CC6E3521] [SPRF] (.Microsoft Corporation - Visual Basic Command Line Compiler.) -- C:\Users\Doriane\AppData\Roaming\servernocrypt.exe   [1169224]     
O4 - HKCU\..\Run: [comm] . (.Pas de propriétaire - Title.) -- C:\Users\Doriane\AppData\Roaming\comm.exe      
O4 - HKUS\S-1-5-21-2781587328-2695149775-958535831-1000\..\Run: [comm] . (.Pas de propriétaire - Title.) -- C:\Users\Doriane\AppData\Roaming\comm.exe  
 

? Lance ZHPFix qui est présent sur ton bureau. 

? Clique sur le "H" bleu ( Coller les lignes Helper ) 

? Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle. 

? Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]  

? Clique maintenant sur [Tous] , puis sur [Nettoyer] 

? Copie/Colle le contenu du rapport à l'écran dans ton prochain message. 

? Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt 

Xplode - Contributeur sécurité.

justyne73 · Answer

Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-21-04-2011-14-08-36.txt
Run by Doriane at 21/04/2011 14:08:23
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Processus mémoire ==========
C:\Users\Doriane\AppData\Roaming\servernocrypt.exe [1169224]  => Fichier supprimé au reboot

========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe" [Enabled] .(.Microsoft Corporation - Visual Basic Command Line Compiler.) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe  => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Users\Doriane\AppData\Roaming\servernocrypt.exe" [Enabled] .(.Microsoft Corporation - Visual Basic Command Line Compiler.) -- C:\Users\Doriane\AppData\Roaming\servernocrypt.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [comm] . (.Pas de propriétaire - Title.) -- C:\Users\Doriane\AppData\Roaming\comm.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-2781587328-2695149775-958535831-1000\..\Run: [comm] . (.Pas de propriétaire - Title.) -- C:\Users\Doriane\AppData\Roaming\comm.exe  => Valeur absente

========== Fichier(s) ==========
c:\windows\microsoft.net\framework\v2.0.50727\vbc.exe  => Fichier supprimé au reboot
c:\users\doriane\appdata\roaming\comm.exe  => Fichier supprimé au reboot


========== Récapitulatif ==========
1 : Processus mémoire
4 : Valeur(s) du Registre
2 : Fichier(s)


End of the scan

Xplode · Answer

Redémarre l'ordinateur puis fais ceci :

&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655; Ad-Remover &#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;


&#9672; Télécharge AD-Remover ( de  C_XX ).

&#9672; Lance AD-Remover puis choisis l'option " Nettoyer ".

Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "

&#9672; Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message

&#9672; Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt

justyne73 · Answer

il m'a demandé de redémarrer windows pour finaliser et en cliquant sur ok, il n'a pas redémarré, je ne sais si c normal...

Xplode · Answer

Ok, on continue :

&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655; Malwarebytes' Anti-Malware &#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;


&#9672; Télécharge Malwarebytes' Anti-malware sur ton bureau.

&#9672; Installe le en suivant les instructions. Coche "Créer une icône sur le bureau"

&#9672; A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

&#9672; Une fois lancé, clique sur "Exécuter un examen complet" puis sur [Rechercher]

&#9672; Sélectionne tout tes disques locaux et amovibles.

&#9672; Patiente pendant toute la durée du scan, puis clique sur [Ok] une fois l'analyse effectuée.

&#9672; Clique ensuite sur [Afficher les résultats] puis sur [Supprimer la sélection]. Valide ensuite par [Ok].

&#9672; MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

&#9672; Tu peux ensuite vider la quarantaine de MBAM.

Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

&#9672; Si tu as des soucis, un tutoriel est disponible à cette adresse.

justyne73 · Answer

voilà le rapport :

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 6412

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

21/04/2011 15:50:20
mbam-log-2011-04-21 (15-50-20).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Elément(s) analysé(s): 393470
Temps écoulé: 1 heure(s), 10 minute(s), 5 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Doriane\AppData\Roaming\data.dat (Stolen.Data) -> Quarantined and deleted successfully.

Xplode · Answer

Ok.

c:\Users\Doriane\AppData\Roaming\data.dat (Stolen.Data) -> Quarantined and deleted successfully.

Stolend Data -> Données volées

Autrement dit comme j'ai dis plus haut, change tout tes mots de passe etc..

Refais moi un rapport ZHPDiag

justyne73 · Answer

https://www.cjoint.com/?ADvqgGocdTm

justyne73 · Answer

Dois je faire autre chose?

Xplode · Answer

Oui,

&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655; ZHPFix &#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;


/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

&#9672; Copie le texte en gras ci-dessous ( CTRL + C pour copier )


[MD5.AEEC0405A1C587562275AB20CC6E3521] [SPRF] (.Microsoft Corporation - Visual Basic Command Line Compiler.) -- C:\Users\Doriane\AppData\Roaming\servernocrypt.exe   [1169224]    => Infection Diverse (Trojan.Agent)
[HKCR\kt_bho.kettlebho]    
[HKCR\kt_bho.kettlebho.1]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]    
[HKCR\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]   
[HKLM\Software\Classes\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]    => Infection BT (Trojan.BHO)
[HKCR\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}]    
[HKLM\Software\Classes\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}]    
[HKLM\Software\Classes\Interface\{E9BBD270-4B87-4EE2-912F-6635674986C0}]  
[MD5.88A875CEE28E933A3536C46AA5FBCB84] [SPRF] (.Pas de propriétaire - Title.) -- C:\Users\Doriane\AppData\Roaming\comm.exe   [479232]   
O44 - LFC:[MD5.E72B5E7117BB5266265E1CE60C3CF62E] - 08/04/2011 - 17:23:33 ---A- . (...) -- C:\Windows\AsCD_Item_36.jpg   [85417]    => 
O44 - LFC:[MD5.DB8F371980DFA39B6F96C8A327CB4AC1] - 06/04/2011 - 17:24:59 ---A- . (...) -- C:\dpi.txt   [5]  
O4 - HKLM\..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd (.not file.)    
O4 - HKLM\..\Wow6432Node\Run: [UpdatePSTShortCut] Clé orpheline    
O4 - Global Startup: C:\Users\Doriane\Desktop\Spider Solitaire.lnk - Clé orpheline    
[HKCU\Software\CToolbar]    
[HKCR\Interface\{E9BBD270-4B87-4EE2-912F-6635674986C0}]   


&#9672; Lance ZHPFix qui est présent sur ton bureau.

&#9672; Clique sur le "H" bleu ( Coller les lignes Helper )

&#9672; Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.

&#9672; Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok] 

&#9672; Clique maintenant sur [Tous] , puis sur [Nettoyer]

&#9672; Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

&#9672; Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

justyne73 · Answer

Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-21-04-2011-17-23-44.txt
Run by Doriane at 21/04/2011 17:23:44
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Processus mémoire ==========
C:\Users\Doriane\AppData\Roaming\servernocrypt.exe [1169224]  => Supprimé et mis en quarantaine
C:\Users\Doriane\AppData\Roaming\comm.exe [479232]  => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
HKCR\kt_bho.kettlebho  => Clé supprimée avec succès
HKCR\kt_bho.kettlebho.1  => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}  => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}  => Clé supprimée avec succès
HKCR\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}  => Clé non supprimée
HKLM\Software\Classes\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}  => Clé non supprimée
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}  => Clé non supprimée
HKCR\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}  => Clé supprimée avec succès
HKLM\Software\Classes\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}  => Clé absente
HKLM\Software\Classes\Interface\{E9BBD270-4B87-4EE2-912F-6635674986C0}  => Clé non supprimée
HKCU\Software\CToolbar  => Clé supprimée avec succès
HKCR\Interface\{E9BBD270-4B87-4EE2-912F-6635674986C0}  => Clé non supprimée

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd (.not file.)  => Valeur supprimée avec succès
O4 - HKLM\..\Wow6432Node\Run: [UpdatePSTShortCut] Clé orpheline  => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\windows\ascd_item_36.jpg  => Supprimé et mis en quarantaine
c:\dpi.txt  => Supprimé et mis en quarantaine
c:\programdata\setwallpaper.cmd  => Fichier absent
c:\users\doriane\desktop\spider solitaire.lnk  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
2 : Processus mémoire
12 : Clé(s) du Registre
2 : Valeur(s) du Registre
4 : Fichier(s)


End of the scan

Xplode · Answer

Ok. Comment se porte le PC?

justyne73 · Answer

ben bien, j'ai constaté que mon antivirus ne voyait plus le virus :)
tu penses que tout est ok?

justyne73 · Answer

je vois que le jeu solitaire qui était sur mon bureau n'existe plus, ni sur le bureau ni dans l'ordi

Xplode · Answer

Re,

Pour le jeu solitaire :

&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655; ZHPFix &#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;


/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

&#9672; Copie le texte en gras ci-dessous ( CTRL + C pour copier )


QuarantineRestore:c:\users\doriane\desktop\spider solitaire.lnk


&#9672; Lance ZHPFix qui est présent sur ton bureau.

&#9672; Clique sur le "H" bleu ( Coller les lignes Helper )

&#9672; Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.

&#9672; Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok] 

&#9672; Clique maintenant sur [Tous] , puis sur [Nettoyer]

&#9672; Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

&#9672; Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

justyne73 · Answer

Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
Fichier d'export Registre : 
Run by Doriane at 21/04/2011 18:21:15
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Fichier(s) ==========
c:\users\doriane\desktop\spider solitaire.lnk  => Fichier restauré de la quarantaine


========== Récapitulatif ==========
1 : Fichier(s)


End of the scan

Xplode · Answer

Normalement tu dois avoir retrouvé ton jeu de solitaire ;o) On termine : -+-+-+-+-> DelFix <-+-+-+-+- [x] Télécharge DelFix sur ton bureau. [x] Lance le et appuie sur [Suppression] [x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message. Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt ) [x] Une fois le rapport posté sur le forum, relance DelFix et appuie sur [Désinstallation]. -+-+-+-+-> Purger la restauration système <-+-+-+-+- [x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème. [x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant. [x] Tutoriels : - Windows XP - Windows Vista - Windows 7 -+-+-+-+-> Liens utiles <-+-+-+-+- Ces liens sont en rapport direct avec la sécurité de ton PC. Prends le temps de les lire pour comprendre pourquoi tu as été infecté. - Les dangers du P2P - La sécurité de son PC, c'est quoi? - Sécuriser son ordinateur - Pourquoi maintenir son navigateur à jour? - Les toolbars c'est pas obligatoire

justyne73 · Answer

# DelFix v7.7B - Rapport créé le 21/04/2011 à 18:27
# Mis à jour le 15/04/11 à 19h30 par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7600] 
# Nom d'utilisateur : Doriane - DORIANE-PC (Administrateur)
# Exécuté depuis : C:\Users\Doriane\Downloads\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Program Files (x86)\Ad-Remover
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\ZHPExportRegistry-21-04-2011-14-08-36.txt
Supprimé : C:\ZHPExportRegistry-21-04-2011-17-23-44.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Doriane\Desktop\AD-R.lnk
Supprimé : C:\Users\Doriane\Desktop\hijackthis.log
Supprimé : C:\Users\Doriane\Desktop\ZHPDiag.Txt
Supprimé : C:\Users\Doriane\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Doriane\Downloads\HiJackThis.exe
Supprimé : C:\Users\Doriane\Downloads\hijackthis.log
Supprimé : C:\Users\Doriane\Downloads\ZHPDiag2.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1633 octets] ##########

justyne73 · Answer

faut il que je restaure ou que je désactive la restauration? (dans le tuto ils disent de désactiver..)

roropat · Answer

Bonjour,
J'ai le même problème que justyne73.
Pouvez-vous m'aidé?

GhosT · Answer

Bonjour,
j'ai le même problème snif!

Voila le lien du fichier : 	http://cjoint.com/?AICtRGDaYHU

chticaledo · Answer

Pareil pour moi !!!
lien fichier : http://cjoint.com/?BAiapks2Uiz

Comment supprimer Worm:Win32/Ainslot.A

24 réponses

Discussions similaires

Newsletters