Virus multiples

laura38 -  
 laura38 -
Bonjour,

Depuis quelque temps, une page internet s'ouvre même si je ne suis pas connectée.
Et depuis aujourd'hui, quand je fais une recherche sur google par exemple, je clic sur le lien, mais là soit une autre page (de pub) s'affiche à la place de la page demandée, soit une rien ne s'affiche.

J'ai plusieurs rapports :
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6752

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

02/06/2011 13:26:39
mbam-log-2011-06-02 (13-26-39).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|Q:\|)
Elément(s) analysé(s): 352132
Temps écoulé: 54 minute(s), 31 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 9
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{293A63F7-C3B6-423a-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA} (Trojan.Eorezo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78} (Trojan.Eorezo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\PCTutoBHO.PCTBHO.1 (Trojan.Eorezo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\PCTutoBHO.PCTBHO (Trojan.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{293A63F7-C3B6-423A-9845-901AC0A7EE6E} (Trojan.Eorezo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files (x86)\PCTuto\pctutobho.dll (Trojan.Eorezo) -> Quarantined and deleted successfully.
c:\Users\Laura\adobe photoshop cs5 extended\Keygen.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\Users\Laura\AppData\Local\Temp\432D.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\Laura\AppData\Local\Temp\58C0.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.

A voir également:

40 réponses

Précédent
  • 1
  • 2
Réponse 21 / 40
Utilisateur anonyme
 
je vois que tu as passé combofix aussi...

attention ce n'est pas un jouet

mal utilisé il peut planter ta machine

tu sais recuperer une machine si un outil quelqu'il soit la plante et que tu ne peux plus demarrer?

tu as le rapport de combofix ?
0
laura38
 
Hum, avec la console de récupération? Pas vraiment

Le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201106/cijic8PU85.txt
0
Réponse 22 / 40
Utilisateur anonyme
 
ok

combofix n'a pas pu finir son travail en plus

desinstalle spybot search and destroy , redemarre ton pc

0
laura38
 
Ok, je l'avais déja désinstallé, une fois redemarré le pc, je relance combofix?
0
Réponse 23 / 40
Utilisateur anonyme
 
non on fait comme ca :

▶ Télécharge DelFix sur ton bureau.

▶ Lance le, tape suppression puis valide

Patiente pendant le scan jusqu'à l'ouverture du rapport.

▶ Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFix.txt

tu peux le desinstaller

===========================================

▶ Télécharge ZHPDiag (de Nicolas Coolman)

ou :ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,

▶ lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

▶ Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

▶ Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse,

▶ clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.
0
laura38
 
J'ai juste ca comme rapport, c'est normal?

# DelFix v8.0 - Rapport créé le 03/06/2011 à 14:44
# Mis à jour le 01/06/11 à 13h par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7600]
# Nom d'utilisateur : Laura - LAURA-TOSH (Administrateur)
# Exécuté depuis : C:\Users\Laura\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~


~~~~~~ Fichier(s) ~~~~~~


~~~~~~ Registre ~~~~~~


~~~~~~ Autre ~~~~~~


########## EOF - "C:\DelFixSuppr.txt" - [541 octets] ##########
0
laura38
 
Rapport ZHPDiag :
http://www.cijoint.fr/cjlink.php?file=cj201106/cijA1V9g3G.txt
0
Réponse 24 / 40
Utilisateur anonyme
 
tu as executé delfix avec le clic droit executer en tant qu'administrateur" ?
0
laura38
 
ah non!
voici le rapport :
# DelFix v8.0 - Rapport créé le 03/06/2011 à 18:10
# Mis à jour le 01/06/11 à 13h par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7600]
# Nom d'utilisateur : Laura - LAURA-TOSH (Administrateur)
# Exécuté depuis : C:\Users\Laura\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Laura\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Laura\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.t
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 40
Utilisateur anonyme
 
peut etre mieux la non ? lol ^^
0
laura38
 
Heu oui je sais pas lol^^ mais là pourquoi y'a ZHPDiag?
Du coup y'a des 'trucs' qui se sont supprimés, c'en est ou?
0
Réponse 26 / 40
Utilisateur anonyme
 
comment ca pourquoi y a zhpdiag ? je comprends pas ta question :S
0
laura38
 
Heu dans les fichiers supprimés dans le rapport juste au dessus! Fin je sais pas je comprend pas ses rapports..
0
Réponse 27 / 40
Utilisateur anonyme
 
ben c'est un programme qui vire les tools qu on a utilisés , il est inutile de les garder ils sont mis à jour tous les jours donc dans 2 jours il te serviront plus à rien si tu les gardes ;)
0
laura38
 
D'accord! Et en ce qui concerne le problème alors y'a plus de solutions?
0
Réponse 28 / 40
Utilisateur anonyme
 
je peux avoir ce que j ai demandé apres delfix ?
0
laura38
 
Ceci ?
Rapport ZHPDiag :
http://www.cijoint.fr/cjlink.php?file=cj201106/cijA1V9g3G.txt
0
Utilisateur anonyme
 
tu es en france ?
0
laura38
 
Heu pourquoi
0
laura38
 
Ah, le rapport n'est plus accessible, c'est parce que j'ai supprimé ZHPDiag?
0
Utilisateur anonyme
 
tu es en france oui ou non ?
0
Réponse 29 / 40
Utilisateur anonyme
 
comment se fait-il qu'il y ait 3/4h de decalage entre le moment ou tu as mis le rapport sur cijoint , et l'heure à laquellle tu m'a mis le lien ici ?
G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....
0
laura38
 
Heu le rapport avec ZHPDiag je l'ai mis a 15h08! J'en ai pas fait depuis, et c'est le même lien que j'ai remis plus haut. C'est bien ca la question?
0
Réponse 30 / 40
Utilisateur anonyme
 
tu l'as lancé plein de fois delfix ?
0
laura38
 
Hum alors une 1ere fois mais j'avais cliqué sur rechercher je crois au lien de "supprimer" et là une autre fois, car je n'avais pas fait clic droit "executer en tant qu'administrateur"
0
Réponse 31 / 40
Utilisateur anonyme
 
demarrer / programmes / acessoires / executer

tape regedit

valide

developpe avec les petits "+" cette arborescence :

HKEY_CURRENT_USER\Software\Frameworks

clic droit sur "Frameworks" , exporter , choisis ton bureau , puis mets le nom que tu veux

valide

ferme regedit

va sur la clé sauvegardée sur ton bureau , clic droit dessus , modifier ,

elle va s'ouvrir en document texte , selectionne tout le contenu puis colle -le ici
dans ta réponse

ferme la clé

G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....
0
laura38
 
Vu que ca me met "Veuillez écrire correctement s'il vous plaît (pas de SMS, orthographe, grammaire)" ==> http://www.cijoint.fr/cjlink.php?file=cj201106/cijMFGgWKA.txt
0
Réponse 32 / 40
Utilisateur anonyme
 
meme chose avec celle-ci stp

HKCU\Software\Pictures
0
laura38
 
http://www.cijoint.fr/cjlink.php?file=cj201106/cijMFGgWKA.txt
0
Réponse 33 / 40
Utilisateur anonyme
 
tu m'as remis le meme lien que tout à l heure ^^
0
laura38
 
en effet^^
http://www.cijoint.fr/cjlink.php?file=cj201106/cij8npb5if.txt
0
Réponse 34 / 40
Utilisateur anonyme
 
ok et enfin celle-ci

HKEY_LOCAL_MACHINE\Software\HAL
G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....
0
laura38
 
J'ai pas HAL..
Par contre y'a Softonic, on peut pas y supprimer directement comme ca les clés?
0
Utilisateur anonyme
 
si faut changer de branche pour HAL regarde bien c'est pas la meme arborescence
0
laura38
 
Ouais, mais j'ai pas non plus sur HKEY_LOCAL_MACHINE
0
Réponse 35 / 40
Utilisateur anonyme
 
impossible
0
Réponse 36 / 40
laura38
 
http://www.cijoint.fr/cjlink.php?file=cj201106/cijF0BrX5D.png
J'ai fait un screen
0
Réponse 37 / 40
Utilisateur anonyme
 
bizarre que zhpdiag voit de clés qu on ne voit pas....

[HKLM\Software\HAL]
0
Réponse 38 / 40
laura38
 
Du coup je fais quoi? y'a pas moyen de voir les clés "cachés"
0
Réponse 39 / 40
Utilisateur anonyme
 
je me renseigne au concepteur de zhpdiag pour voir ce qu il en est de cette detection fantome
0
laura38
 
d'accord, merci bien en tout cas !
0
Utilisateur anonyme
 
si je tarde à repondre fais remonter le sujet :)
0
laura38
 
Je répondrais que demain matin peut être, mais très peu dans la journée!
0
Réponse 40 / 40
Utilisateur anonyme
 
ok je me renseigne :)
0
laura38
 
Yep, je suis de retour
0
Utilisateur anonyme
 
ok re , j'ai pas de nouvelles encore :)
0
laura38
 
D'accord, merci de me tenir au courant alors ;)
Comment ca va se passer par la suite? Normalement ca peut se supprimer ?
0
Utilisateur anonyme
 
oui mais j'ai besoin de savoir ce qu il en est de manière à te rediger un script de suppression le plus efficace possible qui soit sans faire d'erreur
0
laura38
 
Okay ;) Je demande pke je comprend pas grand chose à tout ces trucs :D
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses