Virus / trojan / disque dur attaqué

Question

Bonjour, 
J'ai fait une erreur en me promenant sur internet. J'étais en train de lire un cours pdf avec adobe et je cherchais des cours sur internet. Adobe m'a demandé si je voulais poursuivre avec le fichier et pensant que cetait mon cours j'ai fait ok... Quelle erreur... j'ai apparemment download un fichier que j'ai surprimé dans la seconde... Le mal était fait. J'ai immédiatement coupé internet pour qu'il n'y est pas de fuite.
J'ai réussi à faire un scan complet au démarrage avec avast (le plus récent version gratuite) et il m'a détecté 2 trojans win32 hrupka d et win32 olmarik et des fichiers corrompue qu'il m'annonce supprimés.
Cependant une fois sur le bureau noir plus aucun document, seul le logiciel avast est présent et les messages d'erreur se succèdent. Trop d'utilisation de ram , disque dur endommagé, windows vista recovery m'affichant qu'une partie du disque dur ne marche plus et j'en passe.

J'arrive cependant à accéder au bureau et il ne reboot pas sans que je lui demande. ah et il veut sans arrêt se connecter à internet mais par précaution je ne lui permets pas.

Pouvez vous m'aider avec l'aide d'outils de diagnostics ou autres ?

Merci d'avance






Configuration:  PC portable Toshiba Windows Vista familial  2Go de ram

juju666 · Answer

Hello

&#9654 Télécharge sur le bureau RogueKiller  (par tigzy)   

&#9654 &#9654 Sous Windows XP, double clic gauche   

&#9654 &#9654  Sous Vista/Seven, clique droit, lancer en tant qu''administrateur   

&#9654 Quitte tous tes programmes en cours   
&#9654 Lance RogueKiller.exe.   
&#9654 Un scan se lance, puis tu verra d''indiqué dans la fenêtre  
&#9654 &#9654 1. Scan (écrit en vert) 
&#9654 &#9654 2. Delete (écrit en rouge)  
&#9654 &#9654 3. Hosts RAZ (écrit en rouge)  
&#9654 &#9654 4. Proxy RAZ (écrit en rouge) 
&#9654 &#9654 5. DNS RAZ (écrit en rouge) 
&#9654 &#9654 6. Raccourcis RAZ (écrit en rouge) 
&#9654  A ce moment tape 2 et valide   
Note: s''il te demande de supprimer le proxy, tape 4   
&#9654 Un rapport (RKreport1.txt) a du se créer à côté de l''exécutable, colle son contenu dans la réponse 
&#9654 Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe

babaloulou · Answer

j'ai fait une restauration du système et mes documents sont la. Cependant je ne sais pas si le virus ou trojan est toujours la je fais vos étapes?

juju666 · Answer

oui

babaloulou · Answer

RogueKiller V5.1.6 [21/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Raphaël [Droits d'admin]
Mode: Suppression -- Date : 22/05/2011 20:52:51

Processus malicieux: 0

Entrees de registre: 1
[SUSP PATH] HKCU\[...]\Run : oioumki ("c:\users\raphaël\appdata\local\oioumki.exe" oioumki) -> DELETED

Fichier HOSTS:
127.0.0.1 localhost
127.0.0.1 activate.adobe.com
127.0.0.1 genuine.microsoft.com
127.0.0.1 mpa.one.microsoft.com
127.0.0.1 sa.windows.com
127.0.0.1 se.windows.com
127.0.0.1 ie.search.msn.com
127.0.0.1 wustat.windows.com
127.0.0.1 wutrack.windows.com
127.0.0.1 catalog.microsoft.com
127.0.0.1 sls.microsoft.com
127.0.0.1 spynet2.microsoft.com
127.0.0.1 spynettest.microsoft.com

Termine : << RKreport[1].txt >>
RKreport[1].txt

babaloulou · Answer

mon Pc a restauré mais mes documents ont disparus. pas les logiciels.
Et avast ne veut plus se mattre en marche et windows me dit que mon pc n'est protégé par aucun anti virus

juju666 · Answer

génial windows pirate on dirait?

babaloulou · Answer

? je n'ai pas trop compris?
Mon vista est d'origine et j'ai la license sur la machine. seul office n'est pas officiel

juju666 · Answer

bizarre cette ligne dans ton hosts :

127.0.0.1 mpa.one.microsoft.com 

voilà pourquoi je pensais à un windows pas original !!

=========

relance RogueKiller option 6 et poste le rapport

babaloulou · Answer

Dsl c'était long!

RogueKiller V5.1.6 [21/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Raphaël [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 22/05/2011 21:29:12

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 1453 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 2627 / Fail 0
Menu demarrer: Success 25 / Fail 0
Dossier utilisateur: Success 73242 / Fail 24458
Mes documents: Success 13455 / Fail 5
Mes favoris: Success 22 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 5
Mes videos: Success 0 / Fail 0
Disques locaux: Success 8581 / Fail 91094
Sauvegarde: [FOUND] Success 1 / Fail 0

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

juju666 · Answer

pas de soucis ;)

éradication du rogue :

&#9654 Télécharge Malwarebytes'' Anti-Malware  et enregistre le sur ton bureau.  

&#9654 &#9654 Miroir 1 si inaccessible  

&#9654 &#9654 Miroir 2 si inaccessible 

&#9654 &#9654 /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes'' Anti-Malware, « exécuter en tant qu''Administrateur »  

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d''installation.  
&#9654 Dans l''onglet "mise à jour", clique sur le bouton Recherche de mise à jour  
&#9654 si le pare-feu demande l''autorisation de se connecter pour Malwarebytes, accepte  
&#9654  Une fois la mise à jour terminée  
&#9654 rends-toi dans l''onglet Recherche 
&#9654 Sélectionne Exécuter un examen complet 
&#9654 Clique sur Rechercher  
&#9654 &#9654 Le scan démarre.  
&#9654 A la fin de l''analyse, un message s''affiche : L''examen s''est terminé normalement. Cliquez sur ''Afficher les résultats'' pour afficher tous les objets trouvés.  
&#9654 Clique sur Ok pour poursuivre.  
&#9654 Si des malwares ont été détectés, cliques sur Afficher les résultats 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
&#9654 Malwarebytes va ouvrir le bloc-notes et y copier le rapport d''analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

&#9654 &#9654  Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!  
&#9654 Une fois le PC redémarré, rends toi dans l''onglet rapport/log  
&#9654 Tu clique dessus pour l''afficher, une fois affiché  
&#9654 Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

Si tu as besoin d''aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/   

&#9654 &#9654 Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

babaloulou · Answer

Après 3h de scan : 
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5363

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

23/05/2011 08:08:49
mbam-log-2011-05-23 (08-08-49).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 500915
Temps écoulé: 2 heure(s), 40 minute(s), 23 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{7AA32FC7-133B-4AE7-998E-CED0D9829B12} (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{01417316-4620-43C7-B635-F4F381596978} (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{006C2F9B-122D-438F-BAC0-DE3C620D2EC6} (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Wrx.luna.1 (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Wrx.luna (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AA32FC7-133B-4AE7-998E-CED0D9829B12} (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{7AA32FC7-133B-4AE7-998E-CED0D9829B12} (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Raphaël\Desktop\mini-kms_activator_v1.052.exe (Riskware.Keygen) -> Quarantined and deleted successfully.
c:\Users\Raphaël\local settings\application data\oioumki_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
c:\Users\Raphaël\local settings\application data\oioumki_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.

juju666 · Answer

ooooh du navipromo lol ^^

===========

Vérifions les résidus d'infection:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
ftp://zebulon.fr/ZHPDiag2.exe

&#9654 Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu''Administrateur » 

&#9654 Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l''aide de l''icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

babaloulou · Answer

je le ferai quand je rentrerai du boulot à16h.
C'était quoi ce navipromo?

babaloulou · Answer

http://pdfcast.org/pdf/scan-1

juju666 · Answer

tu peux pas le mettre sur cjoint ou pjjoint ???
en format txt

babaloulou · Answer

dsl ca sauvait pas en mode text je recommence

babaloulou · Answer

http://pjjoint.malekal.com/files.php?id=0aa23e437491511

juju666 · Answer

Il y a une infection USB à traiter

&#9654 Télécharge UsbFix (TeamXScript) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement. 

&#9654  Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...)  sans les ouvrir  

&#9654 Vista/Seven : Clic droit sur UsbFix > Exécuter en tant qu''administrateur, l''installation se fera automatiquement 
              XP : double clic sur UsbFix

&#9654 Clique sur "Recherche" 

&#9654 Laisse travailler l''outil 

&#9654 A la fin, le rapport va s''afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur) 

&#9654 Aide en images : Tutoriel "Recherche"

babaloulou · Answer

http://pjjoint.malekal.com/files.php?id=29315cd6621255

juju666 · Answer

relance usbfix, clique cette fois sur suppression

poste le rapport

babaloulou · Answer

http://pjjoint.malekal.com/files.php?id=c42de12ba911710

juju666 · Answer

on passe à LOP:

&#9654 Télécharge FixLop de NicoVA
&#9654 Lance l''installateur
&#9654 Clique deux fois sur Suivant puis cocher "Créer un icône sur le bureau"
&#9654 Clique sur Installer
&#9654 Clique enfin sur Terminer

&#9654 Une fois FixLop ouvert : clique sur "Recherche"
&#9654 Un rapport va s''afficher à la fin : FixLop[RECH].txt sous C:\ 
&#9654 Copie/colle le ici

babaloulou · Answer

####### FixLop vers 1.0.2.6 [ Recherche ] #######

# Exécuté depuis C:\Program Files\FixLop
# Le 23/05/2011 à 18h27
# Utilisateur : Raphaël | PC-DE-RAPHAËL

# S.E : Windows Vista (TM) Home Premium | Service Pack 2 | 32 bits
# CPU : Intel(R) Core(TM)2 CPU         T7200  @ 2.00GHz

# Internet Explorer version [7.0.6002.18005]
# Mozilla Firefox : 3.6.16 (fr)

############## [ Processus ]


############## [ Fichiers/Dossiers ]


~~~~ Lecture fichier C:\Users\Raphaël\AppData\Roaming\Mozilla\Firefox\Profiles\rwt8pzup.default\prefs.js ~~~~ 


############## [ Clés de registres ]


Clé présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.zix
Clé présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.zix
Clé présente : HKEY_CLASSES_ROOT\.zix

############## [ Internet Explorer ]

-- [ HKLM\Software\Microsoft\Internet Explorer\Main ] --

Search Page : hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_page_url : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_search_url : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page : hxxp://fr.msn.com/
Local Page : %SystemRoot%\system32\blank.htm

-- [ HKCU\Software\Microsoft\Internet Explorer\Main ] --

Search Page : hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_page_url : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_search_url : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page : hxxp://fr.msn.com/
Local Page : C:\Windows\system32\blank.htm


########## [ ! SCAN fini le 23/05/2011 à 18h27 ]

juju666 · Answer

infection repérée

&#9654 Relance FixLop et clique sur Suppression
&#9654 Un backup du registre est effectué, c''est normal
&#9654 Copie/colle le rapport de suppression.

babaloulou · Answer

####### FixLop vers 1.0.2.6 [ Suppression ] #######

# Exécuté depuis C:\Program Files\FixLop
# Le 23/05/2011 à 18h32
# Utilisateur : Raphaël | PC-DE-RAPHAËL

# S.E : Windows Vista (TM) Home Premium | Service Pack 2 | 32 bits
# CPU : Intel(R) Core(TM)2 CPU         T7200  @ 2.00GHz

# Internet Explorer version [7.0.6002.18005]
# Mozilla Firefox : 3.6.16 (fr)

############## [ Processus ]


############## [ Dossiers & Fichiers ]


~~~~ Lecture fichier prefs.js ~~~~ 


############## [ Clés de registres ]


Clé supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.zix

Clé supprimée : HKEY_CLASSES_ROOT\.zix

############## [ Internet Explorer ]

-- [ HKLM\Software\Microsoft\Internet Explorer\Main ] --

Search Page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url : hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_search_url : hxxp://www.google.fr
Start Page : hxxp://fr.msn.com/
Local Page : C:\Windows\system32\blank.htm

-- [ HKCU\Software\Microsoft\Internet Explorer\Main ] --

Search Page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url : hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_search_url : hxxp://www.google.fr
Start Page : hxxp://fr.msn.com/
Local Page : C:\Windows\system32\blank.htm

########## [ ! Suppression finie le 23/05/2011 à 18h32 ]

juju666 · Answer

suite

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


P2 - FPN:Firefox Plugin Navigator . (.Ask.com - Ask Toolbar Plugin Stub for 32-bit Windows.) -- C:\Program Files\Mozilla Firefox\Plugins\NPAskSBr.dll     
R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0   
O42 - Logiciel: Favorit (sqqewmi) - (.Pas de propriétaire.) [HKLM] -- sqqewmi   
[HKCU\Software\Grand Virtual]   
[HKCR\.zix]    
[HKLM\Software\Classes\AppID\SoftwareUpdate.exe]     
[HKLM\Software\Classes\imside1egate.application.1]     
[HKCR\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}]    
[HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}]    
[HKCU\Software\Grand Virtual]    
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;*.local
[MD5.08BA16A47A84859C170A69156D9F932C] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Raphaël\AppData\Local\oioumki.bat   [92]    
[MD5.08BA16A47A84859C170A69156D9F932C] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Raphaël\AppData\Local\qssyq.bat   [92]     
[MD5.B7670E6B00E95D77CEC02EE9B3BB0D8F] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Raphaël\AppData\Local\Temp\Uni000.exe   [56352]   
[MD5.887173F53072CD2D238014F4199B35CF] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Raphaël\AppData\Local\Temp\xmlUpdater.exe   [118784]   
EMPTYTEMP
FIREWALLRAZ 




&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l''outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l''encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage

&#9654 Copie/Colle le rapport à l''écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

&#9654 Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport

babaloulou · Answer

http://pjjoint.malekal.com/files.php?id=01475ecfc1131414

mon pc redemarre je te fais l'autre scan

babaloulou · Answer

http://pjjoint.malekal.com/files.php?id=8d07e7536115812

juju666 · Answer

Run by Raphaël at 23/05/2011 18:51:32

c est le dernier que tu as fait? si oui :

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


P2 - FPN:Firefox Plugin Navigator . (.Ask.com - Ask Toolbar Plugin Stub for 32-bit Windows.) -- C:\Program Files\Mozilla Firefox\Plugins\NPAskSBr.dll    => Infection BT (Adware.Zango)
R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0    => Infection Rogue (Possible)
O42 - Logiciel: Favorit (sqqewmi) - (.Pas de propriétaire.) [HKLM] -- sqqewmi    => Infection Diverse (Favorit.Adw)
[HKCU\Software\Grand Virtual]    => Infection PUP (PUP.GrandVirtual)
[HKLM\Software\Classes\AppID\SoftwareUpdate.exe]    => Infection PUP (PUP.Eorezo)
[HKLM\Software\Classes\imside1egate.application.1]    => Infection BT (Adware.BHO)
[HKCR\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}]    => Infection BT (Adware.BHO)
[HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}]    => Infection BT (Adware.BHO)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}]    => Infection BT (AskSBar.Adw)
[HKCU\Software\Grand Virtual]    => Infection PUP (PUP.GrandVirtual)
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;*.local    => 



&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l''outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l''encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage

&#9654 Copie/Colle le rapport à l''écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

&#9654 Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport

babaloulou · Answer

http://pjjoint.malekal.com/files.php?id=8d184cae50586

puis 

http://pjjoint.malekal.com/files.php?id=b24e9ecd1571511

juju666 · Answer

&#9654 Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau 

&#9654 Double-clique sur OTM.exe pour le lancer. 

&#9654 Copie la liste qui se trouve dans la balise code ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved. 
    
  
:Reg 
[-HKCU\Software\Grand Virtual]     
[-HKLM\Software\Classes\AppID\SoftwareUpdate.exe]      
[-HKLM\Software\Classes\imside1egate.application.1]     
[-HKCR\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}]      
[-HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}]      
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}]     
[-HKCU\Software\Grand Virtual]      
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter]
"Enabled"=dword:00000001
:Files 
C:\Program Files\Mozilla Firefox\Plugins\NPAskSBr.dll     
:Commands 
[emptytemp] 


&#9654 Clique sur MoveIt! puis ferme OTM. 

&#9654 Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 

&#9654 Accepte en cliquant sur YES. 

&#9654 Poste le rapport situé dans C:\_OTM\MovedFiles. 

&#9654 Le nom du rapport correspond au moment de sa création : date_heure.log 
 .::. Contributeur Sécurité .::.

babaloulou · Answer

c'est ca? car j'ai pas trouvé de fichier movedfiles



All processes killed
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\Software\Grand Virtual\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\AppID\SoftwareUpdate.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\imside1egate.application.1\ deleted successfully.
Registry key HKEY_CLASSES_ROOT\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}\ not found.
Registry key HKEY_CURRENT_USER\Software\Grand Virtual\ not found.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter\"Enabled"|dword:00000001 /E : value set successfully!
========== FILES ==========
DllUnregisterServer procedure not found in C:\Program Files\Mozilla Firefox\Plugins\NPAskSBr.dll
C:\Program Files\Mozilla Firefox\Plugins\NPAskSBr.dll moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56502 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Invité
->Temp folder emptied: 3217199 bytes
->Temporary Internet Files folder emptied: 43753376 bytes
->FireFox cache emptied: 4174714 bytes
->Flash cache emptied: 16750 bytes
 
User: postgres
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Public
 
User: Raphaël
->Temp folder emptied: 11269406 bytes
->Temporary Internet Files folder emptied: 47587988 bytes
->Java cache emptied: 65314306 bytes
->FireFox cache emptied: 49133247 bytes
->Google Chrome cache emptied: 413532005 bytes
->Apple Safari cache emptied: 19193856 bytes
->Opera cache emptied: 1374425 bytes
->Flash cache emptied: 1957848 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 301568 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 24093640 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 277776 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 19690502 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 672,00 mb
 
 
OTM by OldTimer - Version 3.1.17.2 log created on 05232011_200920

juju666 · Answer

oui :)

refais zhpdiag, héberge le rapport et colle le lien stp

babaloulou · Answer

http://pjjoint.malekal.com/files.php?id=1fed6bb11f10119

juju666 · Answer

mais c'est pa spossible que ces clés reviennent toujours !!! faut que je me renseigne !

juju666 · Answer

&#9654 Double-clique sur OTM.exe pour le lancer. 

&#9654 Copie la liste qui se trouve dans la balise code ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved. 
    
  
:Reg 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter] 
"Enabled"=dword:00000002  


&#9654 Clique sur MoveIt! puis ferme OTM. 

&#9654 Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 

&#9654 Accepte en cliquant sur YES. 

&#9654 Poste le rapport situé dans C:\_OTM\MovedFiles. 

&#9654 Le nom du rapport correspond au moment de sa création : date_heure.log 
 .::. Contributeur Sécurité .::.

babaloulou · Answer

========== REGISTRY ==========
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter\"Enabled"|dword:00000002 /E : value set successfully!
 
OTM by OldTimer - Version 3.1.17.2 log created on 05242011_185438

juju666 · Answer

redémarre, refais zhpdiag stp?

babaloulou · Answer

http://pjjoint.malekal.com/files.php?id=c1dd2b05c512148

juju666 · Answer

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\  

&#9654 /!\ IMPORTANT /!\  
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/ 
_______________________________________________________________

&#9654 Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

&#9654 Double-clique sur ComboFix.exe  
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

&#9654 &#9654 SI TU ES SOUS WINDOWS XP, SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION [Si tu travailles avec Vista ou seven ne tiens pas compte de cet avertissement]
&#9654 &#9654 Ne touche à rien (souris, clavier) tant que le scan n''est pas terminé, car tu risques de planter ton PC  

&#9654 En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  
&#9654 Une fois le scan achevé, un rapport va s''afficher : Poste son contenu  
&#9654 &#9654 /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\  

Notes: 
-> Le rapport se trouve également là : C:\ComboFix.txt   
-> tutoriel combofix

babaloulou · Answer

La console de commande administrateur à fond bleu reste longtemps?
Car 10min (et toujours en cours) et pas un seul changement normal?

juju666 · Answer

laisse tourner, ça peut durer 1 h

babaloulou · Answer

http://pjjoint.malekal.com/files.php?id=089e2093621476

juju666 · Answer

Une copie infectée de c:\windows\system32\drivers\volsnap.sys a été trouvée et désinfectée     
Copie restaurée à partir de - Kitty had a snack :p 

ça ne peut qu'aller mieux maintenant !

babaloulou · Answer

? c'est sérieux ce logiciel?

et c'est fini?

juju666 · Answer

c est un driver nécessaire au bon fonctionnement de windows

on va quand même vérifier je fais pas confiance à combofix :D

&#9654 Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau   
&#9654 Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit   
dessus, et sur exécuter en tant qu''administrateur)   
&#9654 Clique sur Start Scan Clique ici pour l'aide en image
   
&#9654 &#9654 Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut. 
&#9654 &#9654 Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée. 
&#9654 &#9654 Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée. 
&#9654 &#9654 Si Suspicious file est indiqué, laisse l''option cochée sur Skip  

&#9654 A la fin clique sur Reboot Now   
&#9654 Le PC va redémarrer, et un rapport va s''ouvrir   
&#9654 Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer   
N° de version_Date_Heure_log.txt)

babaloulou · Answer

http://pjjoint.malekal.com/files.php?id=46a03d642091115

juju666 · Answer

parfait :)

&#9654 Télécharge ici : PureRa (par l''editeur de JavaRa)

&#9654 Lance-le (clic droit "executer en tant qu''administrateur" pour Vista/7)

=> Configuration en vidéo ( merci gen-hackman )

&#9654 clique sur "Clean"

&#9654 L''outil va faire son scan puis son nettoyage

&#9654 à la fin du rapport tu auras une ligne comme ca :

Total space cleaned: 8140878 bytes

&#9654 transmets juste cette ligne , le reste importe peu 

------

&#9654 télécharge Ccleaner et enregistre le sur le bureau 

&#9654 double-clique sur le fichier pour lancer l''installation 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu''administrateur » 

&#9654 sur la fenêtre de l''installation langage bien choisir français et OK 
&#9654 clique sur suivant 
&#9654 lis la licence et j''accepte 
&#9654 cliques sur suivant 
&#9654 là tu ne gardes de coché que "mettre un raccourci sur le bureau" et puis "contrôler automatiquement les mises à jour de Ccleaner "
&#9654 cliques sur installer 
&#9654 cliques sur fermer 
&#9654 double-cliques sur l''icône de Ccleaner pour l''ouvrir 
&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé 
&#9654 tu décoches "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures "
&#9654 &#9654 cliques sur nettoyeur 
&#9654 cliques sur windows et dans la colonne avancé 
&#9654 coches la première case "vieilles données du perfetch" 
&#9654 cliques sur analyse une fois l''analyse terminé 
&#9654 cliques sur "lancer le nettoyage" et sur la demande de confirmation "OK" &#9654 &#9654 cliques maintenant sur registre et puis sur "rechercher les erreurs "
&#9654 laisses tout cochées et cliques sur "réparer les erreurs sélectionnées" 
&#9654 il te demande de sauvegarder ==> OUI 
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre 
&#9654 cliques sur "corriger toutes les erreurs sélectionnées" et sur la demande de confirmation ==> OK 
&#9654 Vérifie qu''il ne reste plus rien en relançant "rechercher les erreurs" 
&#9654 tu retournes dans option et tu recoches la case "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures" et sur nettoyeur  windows, sous avancé, tu décoches la première case "vieilles données du perfetch" 
&#9654 tu peux fermer Ccleaner 

------ 

Fais une recherche des erreurs de disque :
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d''avertissement et redémarrez votre système.

------

Défragmente tes disque dur :
Télécharge Deffragler, et défragmente tes 2 disques. 

------

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm

------ 

Mise à jour Windows : 

Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5

Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

-----

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp  

&#9654 Désinstaller les anciennes versions de Java :  

&#9654 Télécharge JavaRa.zip  

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)  

&#9654 Double-clique sur le répertoire JavaRa obtenu.  

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s''afficher)  

&#9654 Clique sur Remove Older Versions.  

&#9654 Clique sur Oui pour confirmer. L''outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.  

&#9654 Un rapport va s''ouvrir, copie-colle le dans ta prochaine réponse.  

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )  

&#9654 Tu peux fermer l''application   

&#9654 &#9654 Met à jour Adobe : 

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/
&#9654 &#9654 Décocher le scan Macàfric

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr

-----

&#9654 &#9654 pour supprimer les outils de désinfection :

&#9654 Télécharge Delfix sur ton bureau : 

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message 
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 

------ 

Tu peux garder Malwarebytes pour un scan de temps à autres 

----- 

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web 
Et celui ci, sur les logiciels gratuits à éviter 

------ 

Si tu utilise FireFox, vérifie que tes plug in sont à jour : https://support.mozilla.org/en-US/kb/npapi-plugins

-----

&#9654 &#9654 Pense à marquer le fil comme résolu  

------ 

Si tu as d''autres questions, je t''écoute avec plaisir :)

@+

babaloulou · Answer

Total space cleaned: 244234943 bytes

babaloulou · Answer

Il scanne mes disques et yen a pour un moment.
en attendant j'ai une autre question.

Pourquoi mon ordinateur ne reconnais pas les fichiers docx alors que j'ai office 10 et qu'il lit et reconnait les .doc

Pour les lire je suis obligé de les ouvrir manuellement après avoir lancer word10 et de rechercher tous les fichiers et enfin ouvrir.

Une raison?

babaloulou · Answer

Ok je réactive le pare feu et l'antivirus et go sur internet voir si cela marche

babaloulou · Answer

Que me conseilles tu comme antivirus gratuit et autres afin de prevenir au mieux les danger en plus de la prudence?

juju666 · Answer

tu peux lire les sujets que je t ai indiqué

Moogli · Answer

Salut Juju666, 

Tout d'abord merci pour ton investisemment, c'est très gentil de ta part ! :) 

J'ai eu le même problème que babaloulou et je suis très content d'avoir trouvé ce site. 

J'ai d'abord neutraliser le Trojan pour pouvoir travailler sans qu'il redémare avec rillquelque chose ( j'men souviens plus, tu vas tout de suite comprendre) ensuite, rkill, option2 puis option6, Niquel, je commence a revoir petit a petit mes dossier & co. 

Mais là, je suis coincé au moment ou malwarebytes effectue son cleanage.. 18fichiers infectés.. nanana. Je redémarre et POUF ! Compte temporaire.. J'pense qu'il y a eu un fichier système supprimé... 

Voilà voilà, le temps était à la gaieté parce que ce Trojan publicitaire commençais sérieusement à me casser les cou***, mais depuis ça je suis a little embarrassing :) 

Merci de ton aide, 

Julien

Virus / trojan / disque dur attaqué

54 réponses

Votre réponse

Newsletters