Virus, "Hijack.Zones"...

Résolu/Fermé
Messages postés
98
Date d'inscription
jeudi 19 février 2009
Statut
Membre
Dernière intervention
27 octobre 2013
-
 Utilisateur anonyme -
Bonjour,

Mon ordinateur était infecté par le virus "TR/Vundo.Gen". Je l'ai supprimé avec Malwarebytes, mais un fichier a résisté, "Hijack.Zones". Je l'ai supprimé, mais il est revenu. J'ai essayé avec Avira de le supprimer également, mais il revient encore. Je voudrais savoir comment faire pour me débarasser de ce virus, en sachant que je ne m'y connait pas beaucoup en informatique, donc plus il y a de d'explications, mieux c'est. :)
Merci d'avance.

93 réponses


salut poste le contenu de ton dernier rapport malwarebytes dans son onglet rapport/log
Messages postés
98
Date d'inscription
jeudi 19 février 2009
Statut
Membre
Dernière intervention
27 octobre 2013
7
Voila le dernier rapport:


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6554

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

11/05/2011 14:15:41
mbam-log-2011-05-11 (14-15-27).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 159847
Temps écoulé: 3 minute(s), 38 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
c:\Windows\Nqucia.exe (Trojan.Agent) -> 3384 -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\5GUTNY6MFK (Trojan.FakeAlert.SA) -> No action taken.
HKEY_CURRENT_USER\Software\R8388QA8U8 (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\R8388QA8U8 (Trojan.Downloader.AS) -> Value: R8388QA8U8 -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Windows\Nqucia.exe (Trojan.Agent) -> No action taken.
c:\Users\Florian\AppData\Local\Temp\Np0.exe (Trojan.Agent) -> No action taken.
c:\Users\Florian\AppData\Local\Temp\Np1.exe (Trojan.Agent) -> No action taken.
c:\Windows\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> No action taken.
Bonjour à toi.

Je crois qu'on se connaît non ?
:)

Selon moi, tu peux dégager manuellement ces fichiers:
c:\Windows\Nqucia.exe
c:\Users\Florian\AppData\Local\Temp\Np0.exe
c:\Users\Florian\AppData\Local\Temp\Np1.exe
c:\Windows\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job

Cela dit, attends confirmation d'un autre membre avant.
Je ne voudrais pas me faire taper dessus :D

▶ Télécharge ici : USBFIX sur ton bureau

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

▶ choisi l option Suppression

▶ UsbFix scannera ton pc , laisse travailler l outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Messages postés
98
Date d'inscription
jeudi 19 février 2009
Statut
Membre
Dernière intervention
27 octobre 2013
7
Rapport UsbFix:


############################## | UsbFix 7.044 | [Suppression]

Utilisateur: Florian (Administrateur) # FLORIAN-TOSH [TOSHIBA Satellite C650]
Mis à jour le 25/04/2011 par TeamXscript
Lancé à 18:34:07 | 12/05/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Pentium(R) Dual-Core CPU T4500 @ 2.30GHz
CPU 2: Pentium(R) Dual-Core CPU T4500 @ 2.30GHz
Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-Bit) #
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Activé
RAM -> 3964 Mo
C:\ (%systemdrive%) -> Disque fixe # 149 Go (104 Go libre(s) - 70%) [WINDOWS] # NTFS
D:\ -> Disque fixe # 149 Go (98 Go libre(s) - 66%) [Data] # NTFS
E:\ -> CD-ROM
F:\ -> Disque amovible # 485 Mo (468 Mo libre(s) - 97%) [] # FAT
G:\ -> Disque amovible # 496 Mo (490 Mo libre(s) - 99%) [] # FAT32

################## | Éléments infectieux |


Supprimé! C:\Users\Florian\AppData\Local\Temp\Np0.exe
Supprimé! C:\Users\Florian\AppData\Local\Temp\Np1.exe
Supprimé! C:\$RECYCLE.BIN\S-1-5-20
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-122511209-2012511929-2485817929-1001
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-122511209-2012511929-2485817929-500
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-122511209-2012511929-2485817929-1001
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-122511209-2012511929-2485817929-500
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3866586683-2921776924-2147742579-1001
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3866586683-2921776924-2147742579-1003
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3866586683-2921776924-2147742579-1004
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3866586683-2921776924-2147742579-500

################## | Registre |

Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |


################## | Listing |

[12/05/2011 - 18:35:59 | SHD ] C:\$RECYCLE.BIN
[04/08/2010 - 12:17:28 | D ] C:\1033
[14/07/2009 - 07:08:56 | SHD ] C:\Documents and Settings
[12/05/2011 - 18:35:32 | A | 1488] C:\error.log
[12/05/2011 - 18:20:33 | ASH | 3117391872] C:\hiberfil.sys
[07/04/2010 - 13:35:21 | D ] C:\Intel
[04/08/2010 - 12:17:45 | RHD ] C:\MSOCache
[12/05/2011 - 18:20:54 | ASH | 4156522496] C:\pagefile.sys
[24/03/2011 - 08:53:50 | D ] C:\Passmark
[14/07/2009 - 05:20:08 | D ] C:\PerfLogs
[19/04/2011 - 12:30:59 | D ] C:\Program Files
[09/05/2011 - 20:00:55 | D ] C:\Program Files (x86)
[09/05/2011 - 20:00:58 | HD ] C:\ProgramData
[07/04/2010 - 15:34:20 | N | 70] C:\SWSTAMP.TXT
[11/05/2011 - 13:40:27 | SHD ] C:\System Volume Information
[04/08/2010 - 12:22:35 | D ] C:\Toshiba
[12/05/2011 - 18:35:59 | D ] C:\UsbFix
[12/05/2011 - 18:34:11 | A | 2715] C:\UsbFix.txt
[28/03/2011 - 20:55:58 | D ] C:\Users
[09/05/2011 - 18:56:53 | D ] C:\Windows
[04/08/2010 - 12:16:46 | D ] C:\Works
[12/05/2011 - 18:35:59 | SHD ] D:\$RECYCLE.BIN
[07/05/2011 - 15:21:37 | D ] D:\Florian
[16/07/2010 - 06:54:02 | D ] D:\HDDRecovery
[24/04/2010 - 02:08:42 | N | 11] D:\R12690FR.tag
[24/05/2010 - 14:40:59 | SHD ] D:\System Volume Information
[09/05/2011 - 19:57:42 | N | 7734208] F:\malwarebytes-anti-malware_malwarebytes_anti-malware_1.50.1_francais_215092.exe
[18/09/2010 - 20:41:54 | N | 458752] F:\SIV6.tmp
[24/02/2011 - 12:23:48 | N | 46] F:\carte_reseau.txt
[06/03/2011 - 13:53:14 | N | 37687] F:\american_dad1.gif
[17/07/2010 - 11:41:44 | N | 5470720] F:\SharePod.exe
[17/07/2010 - 11:43:50 | N | 13103] F:\Readme.txt
[06/03/2011 - 15:06:32 | N | 25] F:\Carte reseau Livebox 4D2E.txt
[06/03/2011 - 15:07:26 | N | 27] F:\Reset Usine Florian-Tosh1.txt
[06/03/2011 - 21:03:22 | N | 2280946] F:\American dad.wmv
[12/05/2011 - 07:32:58 | N | 1227544] F:\UsbFix.exe
[15/01/2007 - 18:50:16 | SHD ] G:\SYSTEM
[12/03/2011 - 10:37:24 | N | 21081] G:\VEL_FAV_000735917.pdf
[12/03/2011 - 12:46:54 | N | 10240] G:\Mail carrefour.wps
[17/03/2011 - 20:41:12 | N | 4] G:\_disk_id.pod
[19/03/2011 - 21:38:10 | D ] G:\sharepod_sharepod_3.9.6_anglais_11207
[27/03/2011 - 13:11:26 | N | 119936] G:\bob_l_eponge.jpg
[09/05/2011 - 19:06:46 | N | 469620] G:\ECJS-travail des enfants.odt

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
F:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
G:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | E.O.F |

▶ Télécharge ici : Ad-remover sur ton bureau :


▶ Déconnecte toi et ferme toutes applications en cours !

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

▶ Laisse travailler l'outil et ne touche à rien ...

▶ Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

==========================================

desactive tes protections puis enregistre ceci sur ton bureau

Pre_Scan

Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus ou renomme-le winlogon , ou change son extension en .com ou .scr

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus(Pre_Scan.txt).

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.
Messages postés
98
Date d'inscription
jeudi 19 février 2009
Statut
Membre
Dernière intervention
27 octobre 2013
7
Est-ce normal que l'"extinction courte du bureau" dure plus de 20 minutes?

si ton disque est plein c'est plus long à la reattribution
Messages postés
98
Date d'inscription
jeudi 19 février 2009
Statut
Membre
Dernière intervention
27 octobre 2013
7
Cela fait 2 heures que mon bureau a disparu, je ne vois plus que mon fond d'écran. Est-ce normal?

là non....tu avais bien desactivé tes protections ?
Messages postés
98
Date d'inscription
jeudi 19 février 2009
Statut
Membre
Dernière intervention
27 octobre 2013
7
J'avais désactivé Avira, et Windows Defender.

ok fais ctrl+Alt+supp puis dans le gestionnaire des taches , tu selectionnes l onglet fichier , puis nouvelle tache et tape :

explorer


puis entrée ton bureau reviendra :)
Messages postés
98
Date d'inscription
jeudi 19 février 2009
Statut
Membre
Dernière intervention
27 octobre 2013
7
Lorsque je fais entrée, une petite fenêtre s'ouvre:

Sécurité de Windows
Impossible d'ouvrir ces fichiers.
Vos paramètres de sécurité ont empêché l'ouverture d'un ou de plusieurs fichiers.

Détails:
C:\Windows\explorer.exe

Et lorsque je clique sur fermer, je reviens au gestionnaire des taches, sans que le bureau ait réapparu derrière... Je fais quoi maintenant?

re

regarde si tu as Pre_Scan.txt dans C:\
Messages postés
98
Date d'inscription
jeudi 19 février 2009
Statut
Membre
Dernière intervention
27 octobre 2013
7
Comment je fais pour accéder à C:\ si je ne peux accéder a rien d'autre qu'au gestionnaire des taches?

ok dans la partie nouvelle tache tape ceci :

notepad C:\Pre_Scan.txt
Messages postés
98
Date d'inscription
jeudi 19 février 2009
Statut
Membre
Dernière intervention
27 octobre 2013
7
Une fenetre s'ouvre:

Sécurité de Windows
Impossible d'ouvrir ces fichiers.
Vos paramètres de sécurité ont empêché l'ouverture d'un ou de plusieurs fichiers.

Détails:
C:\Windows\system32\notepad.exe

Et lorsque je ferme, je reviens au gestionnaire des taches.
Messages postés
98
Date d'inscription
jeudi 19 février 2009
Statut
Membre
Dernière intervention
27 octobre 2013
7
Le probleme est que je ne peux ni accéder au panneau de configuration, ni au menu démarrer...
Messages postés
98
Date d'inscription
jeudi 19 février 2009
Statut
Membre
Dernière intervention
27 octobre 2013
7
l'invite des commandes correspond à "créer une nouvelle tache?"