Virus, "Hijack.Zones"...

Résolu
flo64122 Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   -  
 gen-hackman -
Bonjour,

Mon ordinateur était infecté par le virus "TR/Vundo.Gen". Je l'ai supprimé avec Malwarebytes, mais un fichier a résisté, "Hijack.Zones". Je l'ai supprimé, mais il est revenu. J'ai essayé avec Avira de le supprimer également, mais il revient encore. Je voudrais savoir comment faire pour me débarasser de ce virus, en sachant que je ne m'y connait pas beaucoup en informatique, donc plus il y a de d'explications, mieux c'est. :)
Merci d'avance.

93 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

Infection par le virus TR/Vundo.Gen et réapparition persistante de Hijack.Zones obligent à envisager des solutions de nettoyage sur Windows 7 et Firefox 4.0.1. Plusieurs des échanges préconisent Malwarebytes puis Avira, puis des outils spécialisés comme ZHPFix, ComboFix ou UsbFix pour déloger les éléments tenaces et les entrées de registre. Des conseils pratiques incluent l’arrêt temporaire des protections lors des scans, l’utilisation du Gestionnaire des tâches pour relancer l’explorateur et l’exécution manuelle de scripts ou de correctifs lorsque nécessaire. Certaines interventions évoquent des scripts et manipulations avancées, mais un avertissement persiste sur le risque de dommages et sur l’importance de confirmer chaque étape avant toute modification système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    salut poste le contenu de ton dernier rapport malwarebytes dans son onglet rapport/log
    0
  2. flo64122 Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   7
     
    Voila le dernier rapport:

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6554

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    11/05/2011 14:15:41
    mbam-log-2011-05-11 (14-15-27).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 159847
    Temps écoulé: 3 minute(s), 38 seconde(s)

    Processus mémoire infecté(s): 1
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 3
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    c:\Windows\Nqucia.exe (Trojan.Agent) -> 3384 -> No action taken.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\5GUTNY6MFK (Trojan.FakeAlert.SA) -> No action taken.
    HKEY_CURRENT_USER\Software\R8388QA8U8 (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\R8388QA8U8 (Trojan.Downloader.AS) -> Value: R8388QA8U8 -> No action taken.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Windows\Nqucia.exe (Trojan.Agent) -> No action taken.
    c:\Users\Florian\AppData\Local\Temp\Np0.exe (Trojan.Agent) -> No action taken.
    c:\Users\Florian\AppData\Local\Temp\Np1.exe (Trojan.Agent) -> No action taken.
    c:\Windows\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> No action taken.
    0
  3. deserting
     
    Bonjour à toi.

    Je crois qu'on se connaît non ?
    :)

    Selon moi, tu peux dégager manuellement ces fichiers:
    c:\Windows\Nqucia.exe
    c:\Users\Florian\AppData\Local\Temp\Np0.exe
    c:\Users\Florian\AppData\Local\Temp\Np1.exe
    c:\Windows\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job

    Cela dit, attends confirmation d'un autre membre avant.
    Je ne voudrais pas me faire taper dessus :D
    0
  4. gen-hackman
     
    ▶ Télécharge ici : USBFIX sur ton bureau

    branche tous tes periphériques sans les ouvrir

    /!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur l'icône Usbfix située sur ton Bureau.
    Sur la page, clique sur le bouton :

    ▶ choisi l option Suppression

    ▶ UsbFix scannera ton pc , laisse travailler l outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    ▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. flo64122 Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   7
     
    Rapport UsbFix:

    ############################## | UsbFix 7.044 | [Suppression]

    Utilisateur: Florian (Administrateur) # FLORIAN-TOSH [TOSHIBA Satellite C650]
    Mis à jour le 25/04/2011 par TeamXscript
    Lancé à 18:34:07 | 12/05/2011
    Site Web: http://www.teamxscript.org
    Submit your sample: http://www.teamxscript.org/Upload.php
    Contact: TeamXscript.ElDesaparecido@gmail.com

    CPU: Pentium(R) Dual-Core CPU T4500 @ 2.30GHz
    CPU 2: Pentium(R) Dual-Core CPU T4500 @ 2.30GHz
    Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-Bit) #
    Internet Explorer 8.0.7600.16385

    Pare-feu Windows: Activé
    RAM -> 3964 Mo
    C:\ (%systemdrive%) -> Disque fixe # 149 Go (104 Go libre(s) - 70%) [WINDOWS] # NTFS
    D:\ -> Disque fixe # 149 Go (98 Go libre(s) - 66%) [Data] # NTFS
    E:\ -> CD-ROM
    F:\ -> Disque amovible # 485 Mo (468 Mo libre(s) - 97%) [] # FAT
    G:\ -> Disque amovible # 496 Mo (490 Mo libre(s) - 99%) [] # FAT32

    ################## | Éléments infectieux |

    Supprimé! C:\Users\Florian\AppData\Local\Temp\Np0.exe
    Supprimé! C:\Users\Florian\AppData\Local\Temp\Np1.exe
    Supprimé! C:\$RECYCLE.BIN\S-1-5-20
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-122511209-2012511929-2485817929-1001
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-122511209-2012511929-2485817929-500
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-122511209-2012511929-2485817929-1001
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-122511209-2012511929-2485817929-500
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3866586683-2921776924-2147742579-1001
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3866586683-2921776924-2147742579-1003
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3866586683-2921776924-2147742579-1004
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3866586683-2921776924-2147742579-500

    ################## | Registre |

    Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

    ################## | Mountpoints2 |

    ################## | Listing |

    [12/05/2011 - 18:35:59 | SHD ] C:\$RECYCLE.BIN
    [04/08/2010 - 12:17:28 | D ] C:\1033
    [14/07/2009 - 07:08:56 | SHD ] C:\Documents and Settings
    [12/05/2011 - 18:35:32 | A | 1488] C:\error.log
    [12/05/2011 - 18:20:33 | ASH | 3117391872] C:\hiberfil.sys
    [07/04/2010 - 13:35:21 | D ] C:\Intel
    [04/08/2010 - 12:17:45 | RHD ] C:\MSOCache
    [12/05/2011 - 18:20:54 | ASH | 4156522496] C:\pagefile.sys
    [24/03/2011 - 08:53:50 | D ] C:\Passmark
    [14/07/2009 - 05:20:08 | D ] C:\PerfLogs
    [19/04/2011 - 12:30:59 | D ] C:\Program Files
    [09/05/2011 - 20:00:55 | D ] C:\Program Files (x86)
    [09/05/2011 - 20:00:58 | HD ] C:\ProgramData
    [07/04/2010 - 15:34:20 | N | 70] C:\SWSTAMP.TXT
    [11/05/2011 - 13:40:27 | SHD ] C:\System Volume Information
    [04/08/2010 - 12:22:35 | D ] C:\Toshiba
    [12/05/2011 - 18:35:59 | D ] C:\UsbFix
    [12/05/2011 - 18:34:11 | A | 2715] C:\UsbFix.txt
    [28/03/2011 - 20:55:58 | D ] C:\Users
    [09/05/2011 - 18:56:53 | D ] C:\Windows
    [04/08/2010 - 12:16:46 | D ] C:\Works
    [12/05/2011 - 18:35:59 | SHD ] D:\$RECYCLE.BIN
    [07/05/2011 - 15:21:37 | D ] D:\Florian
    [16/07/2010 - 06:54:02 | D ] D:\HDDRecovery
    [24/04/2010 - 02:08:42 | N | 11] D:\R12690FR.tag
    [24/05/2010 - 14:40:59 | SHD ] D:\System Volume Information
    [09/05/2011 - 19:57:42 | N | 7734208] F:\malwarebytes-anti-malware_malwarebytes_anti-malware_1.50.1_francais_215092.exe
    [18/09/2010 - 20:41:54 | N | 458752] F:\SIV6.tmp
    [24/02/2011 - 12:23:48 | N | 46] F:\carte_reseau.txt
    [06/03/2011 - 13:53:14 | N | 37687] F:\american_dad1.gif
    [17/07/2010 - 11:41:44 | N | 5470720] F:\SharePod.exe
    [17/07/2010 - 11:43:50 | N | 13103] F:\Readme.txt
    [06/03/2011 - 15:06:32 | N | 25] F:\Carte reseau Livebox 4D2E.txt
    [06/03/2011 - 15:07:26 | N | 27] F:\Reset Usine Florian-Tosh1.txt
    [06/03/2011 - 21:03:22 | N | 2280946] F:\American dad.wmv
    [12/05/2011 - 07:32:58 | N | 1227544] F:\UsbFix.exe
    [15/01/2007 - 18:50:16 | SHD ] G:\SYSTEM
    [12/03/2011 - 10:37:24 | N | 21081] G:\VEL_FAV_000735917.pdf
    [12/03/2011 - 12:46:54 | N | 10240] G:\Mail carrefour.wps
    [17/03/2011 - 20:41:12 | N | 4] G:\_disk_id.pod
    [19/03/2011 - 21:38:10 | D ] G:\sharepod_sharepod_3.9.6_anglais_11207
    [27/03/2011 - 13:11:26 | N | 119936] G:\bob_l_eponge.jpg
    [09/05/2011 - 19:06:46 | N | 469620] G:\ECJS-travail des enfants.odt

    ################## | Vaccin |

    C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
    D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
    F:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
    G:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

    ################## | E.O.F |
    0
  7. gen-hackman
     
    ▶ Télécharge ici : Ad-remover sur ton bureau :

    ▶ Déconnecte toi et ferme toutes applications en cours !

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

    ▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    ▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    ==========================================

    desactive tes protections puis enregistre ceci sur ton bureau

    Pre_Scan

    Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus ou renomme-le winlogon , ou change son extension en .com ou .scr

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus(Pre_Scan.txt).

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.
    0
  8. flo64122 Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   7
     
    Est-ce normal que l'"extinction courte du bureau" dure plus de 20 minutes?
    0
  9. gen-hackman
     
    si ton disque est plein c'est plus long à la reattribution
    0
  10. flo64122 Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   7
     
    Cela fait 2 heures que mon bureau a disparu, je ne vois plus que mon fond d'écran. Est-ce normal?
    0
  11. gen-hackman
     
    là non....tu avais bien desactivé tes protections ?
    0
  12. flo64122 Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   7
     
    J'avais désactivé Avira, et Windows Defender.
    0
  13. gen-hackman
     
    ok fais ctrl+Alt+supp puis dans le gestionnaire des taches , tu selectionnes l onglet fichier , puis nouvelle tache et tape :

    explorer


    puis entrée ton bureau reviendra :)
    0
  14. flo64122 Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   7
     
    Lorsque je fais entrée, une petite fenêtre s'ouvre:

    Sécurité de Windows
    Impossible d'ouvrir ces fichiers.
    Vos paramètres de sécurité ont empêché l'ouverture d'un ou de plusieurs fichiers.

    Détails:
    C:\Windows\explorer.exe

    Et lorsque je clique sur fermer, je reviens au gestionnaire des taches, sans que le bureau ait réapparu derrière... Je fais quoi maintenant?
    0
  15. gen-hackman
     
    re

    regarde si tu as Pre_Scan.txt dans C:\
    0
  16. flo64122 Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   7
     
    Comment je fais pour accéder à C:\ si je ne peux accéder a rien d'autre qu'au gestionnaire des taches?
    0
  17. gen-hackman
     
    ok dans la partie nouvelle tache tape ceci :

    notepad C:\Pre_Scan.txt
    0
  18. flo64122 Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   7
     
    Une fenetre s'ouvre:

    Sécurité de Windows
    Impossible d'ouvrir ces fichiers.
    Vos paramètres de sécurité ont empêché l'ouverture d'un ou de plusieurs fichiers.

    Détails:
    C:\Windows\system32\notepad.exe

    Et lorsque je ferme, je reviens au gestionnaire des taches.
    0
  19. flo64122 Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   7
     
    Le probleme est que je ne peux ni accéder au panneau de configuration, ni au menu démarrer...
    0
  20. flo64122 Messages postés 98 Date d'inscription   Statut Membre Dernière intervention   7
     
    l'invite des commandes correspond à "créer une nouvelle tache?"
    0
  • 1
  • 2
  • 3
  • 4
  • 5