virus multiples Fermé

Question

Bonjour, 

Depuis quelque temps, une page internet s'ouvre même si je ne suis pas connectée.
Et depuis aujourd'hui, quand je fais une recherche sur google par exemple, je clic sur le lien, mais là soit une autre page (de pub) s'affiche à la place de la page demandée, soit une rien ne s'affiche. 

J'ai plusieurs rapports : 
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6752

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

02/06/2011 13:26:39
mbam-log-2011-06-02 (13-26-39).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|Q:\|)
Elément(s) analysé(s): 352132
Temps écoulé: 54 minute(s), 31 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 9
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{293A63F7-C3B6-423a-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA} (Trojan.Eorezo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78} (Trojan.Eorezo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\PCTutoBHO.PCTBHO.1 (Trojan.Eorezo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\PCTutoBHO.PCTBHO (Trojan.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files (x86)\PCTuto\pctutobho.dll (Trojan.Eorezo) -> Quarantined and deleted successfully.
c:\Users\Laura\adobe photoshop cs5 extended\Keygen.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\Users\Laura\AppData\Local\Temp\432D.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\Laura\AppData\Local\Temp\58C0.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.

Configuration: Windows 7 / Firefox 3.6.16

gen-hackman · Answer

salut

&#9654 Télécharge Reload_TDSSKiller

&#9654 Lance le 

choisis : télécharger la derniere version

&#9654 relance-le 

choisis : lancer le nettoyage

TDSSKiller va s'ouvrir , clique sur "Start Scan"

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

gen-hackman · Answer

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler 

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

gen-hackman · Answer

selectionne ce texte sans les lignes :
___________________________________________________
folder::
C:\Users\Laura\AppData\Roaming\widestream     
C:\ProgramData\regid.1986-12.com.adobe 
C:\ProgramData\Spybot - Search & Destroy  
C:\Users\Laura\AppData\Local\widestream6 Air                                           
___________________________________________________

copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau

colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail

laura38 · Answer

après avoir fait cette étape cela ouvre "mes documents" et le Pre-Script n'est pas là, je n'ai également pas accès à la barre des tâches et rien ne s'affiche sur le bureau.

gen-hackman · Answer

ouaip , c'est bon :)

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

ou :ZHPDiag

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

gen-hackman · Answer

&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

gen-hackman · Answer

antivir etait desactivé pour cette action ???

gen-hackman · Answer

redemarre ton ordi , refais tourner zhpdiag , coche tout au tournevis , heberge le rapport

gen-hackman · Answer

ca plante où ?

gen-hackman · Answer

arrete de telecharger chez softonic c'est un distributeur de toolbars nefastes et de spywares

===========================================

sélectionne les lignes ci-dessous et copie les dans le Presse-papier (Ctrl C)

M2 - MFEP: prefs.js [Laura - cdfhvsyt.default\FissaPlugin-trash] [] Fissa v1.0 (.Secure Digital Services.)  
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1 
O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe  
O10 - Broken Internet access because of LSP provider (.not file.) -- mswsock.dll 
[MD5.00000000000000000000000000000000] [APT] [14682658] (.Pas de propriétaire.) -- C:\Users\Laura\AppData\Local\Temp\setup3932894912.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [f6d46260] (.Pas de propriétaire.) -- C:\Users\Laura\AppData\Local\Temp\setup1352154592.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{E08E72DF-7329-4351-8B6C-9467DD7BD866}] (.Pas de propriétaire.) -- C:\Users\Laura\AppData\Roaming\FissaSearch\FissaUninstaller.exe (.not file.) 
[HKCU\Software\PCTUTO] 
[HKCU\Software\WideStream] 
[HKLM\Software\PCTuto]  
O43 - CFD: 15/03/2011 - 09:29:06 - [247144] ----D- C:\Program Files (x86)\Widestream6  
O64 - Services: CurCS - (.not file.) - 34058862 (34058862)  .(...) - LEGACY_34058862  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] 
[HKCU\Software\PCTuto] 
[HKLM\Software\PCTuto]   
[HKLM\Software\Wow6432Node\PCTuto] 
[HKCU\Software\WideStream]  
C:\Program Files (x86)\Widestream6  

  
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

laura38 · Answer

Rapport de ZHPFix 1.12.3291 par Nicolas Coolman, Update du 31/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-03-06-2011-09-14-50.txt
Run by Laura at 03/06/2011 09:14:50
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME: HKCU\Software\PCTUTO
SUPPRIME: HKCU\Software\WideStream
SUPPRIME: HKLM\Software\PCTuto
SUPPRIME: O64 - Services: CurCS - (.not file.) - 34058862 (34058862) .(...) - LEGACY_34058862
SUPPRIME: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
SUPPRIME: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME: HKLM\Software\Wow6432Node\PCTuto

========== Valeur(s) du Registre ==========
SUPPRIME: O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe

========== Elément(s) de donnée du Registre ==========
SUPPRIME: R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1

========== Dossier(s) ==========
SUPPRIME: C:\Users\Laura\AppData\Roaming\Mozilla\Firefox\Profiles\cdfhvsyt.default\extensions\FissaPlugin-trash
SUPPRIME: C:\Program Files (x86)\Widestream6

========== Fichier(s) ==========
SUPPRIME: c:\program files (x86)\adobe\reader 9.0\reader\reader_sl.exe
ABSENT: c:\program files (x86)\widestream6

========== Tache planifiée ==========
SUPPRIME: 14682658
SUPPRIME: f6d46260
SUPPRIME: {E08E72DF-7329-4351-8B6C-9467DD7BD866}


========== Récapitulatif ==========
8 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
2 : Dossier(s)
2 : Fichier(s)
3 : Tache planifiée


End of the scan

gen-hackman · Answer

salut refais tourner zhpdiag stp

laura38 · Answer

oups dsl :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijOcxQbIk.txt

gen-hackman · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

laura38 · Answer

voilou :


Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6758

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

03/06/2011 11:29:50
mbam-log-2011-06-03 (11-29-50).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 356785
Temps écoulé: 46 minute(s), 30 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

gen-hackman · Answer

ok encore des soucis ?

gen-hackman · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

gen-hackman · Answer

tu te fais aider sur un autre forum en meme temps ?

gen-hackman · Answer

alors pourquoi as-tu installé Navilog hier soir ??

gen-hackman · Answer

non tu l'as installé hier soir à 

 21:48:47

et moi je t'ai pris en charge à 

 14:40

gen-hackman · Answer

je vois que tu as passé combofix aussi...

attention ce n'est pas un jouet

mal utilisé il peut planter ta machine

tu sais recuperer une machine si un outil quelqu'il soit la plante et que tu ne peux plus demarrer?

tu as le rapport de combofix ?

gen-hackman · Answer

ok

combofix n'a pas pu finir son travail en plus 

desinstalle spybot search and destroy , redemarre ton pc

gen-hackman · Answer

non on fait comme ca :

&#9654 Télécharge DelFix sur ton bureau.

&#9654 Lance le, tape suppression puis valide 

Patiente pendant le scan jusqu'à l'ouverture du rapport.

&#9654 Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFix.txt

tu peux le desinstaller

===========================================

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

ou :ZHPDiag

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

gen-hackman · Answer

tu as executé delfix avec le clic droit executer en tant qu'administrateur" ?

gen-hackman · Answer

peut etre mieux la non ? lol ^^

gen-hackman · Answer

comment ca pourquoi y a zhpdiag ? je comprends pas ta question :S

gen-hackman · Answer

ben c'est un programme qui vire les tools qu on a utilisés , il est inutile de les garder ils sont mis à jour tous les jours donc dans 2 jours il te serviront plus à rien si tu les gardes ;)

gen-hackman · Answer

je peux avoir ce que j ai demandé apres delfix ?

gen-hackman · Answer

comment se fait-il qu'il y ait 3/4h de decalage entre le moment ou tu as mis le rapport sur cijoint , et l'heure à laquellle tu m'a mis le lien ici ? 
G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....

gen-hackman · Answer

tu l'as lancé plein de fois delfix ?

gen-hackman · Answer

demarrer / programmes / acessoires / executer  

tape regedit 

valide 

developpe avec les petits "+" cette arborescence : 

HKEY_CURRENT_USER\Software\Frameworks 

clic droit sur "Frameworks" , exporter , choisis ton bureau , puis mets le nom que tu veux 

valide 

ferme regedit 

va sur la clé sauvegardée sur ton bureau , clic droit dessus , modifier , 

elle va s'ouvrir en document texte , selectionne tout le contenu puis colle -le ici 
dans ta réponse 

ferme la clé 

G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....

gen-hackman · Answer

meme chose avec celle-ci stp

HKCU\Software\Pictures

gen-hackman · Answer

tu m'as remis le meme lien que tout à l heure ^^

gen-hackman · Answer

ok et enfin celle-ci 

HKEY_LOCAL_MACHINE\Software\HAL 
G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....

gen-hackman · Answer

impossible

laura38 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201106/cijF0BrX5D.png
J'ai fait un screen

gen-hackman · Answer

bizarre que zhpdiag voit de clés qu on ne voit pas....

[HKLM\Software\HAL]

laura38 · Answer

Du coup je fais quoi? y'a pas moyen de voir les clés "cachés"

gen-hackman · Answer

je me renseigne au concepteur de zhpdiag pour voir ce qu il en est de cette detection fantome

gen-hackman · Answer

ok je me renseigne :)

Virus multiples

40 réponses

Discussions similaires