Vista antispyware 2010 infection Résolu

Question

Bonjour, 

Suite a une erreur d'innation, j'ai laisser installer Vista antispyware 2010 sur mon PC.
Suite quelques recherches sur le forum, il s'avere que c'est un bon vieu malware.
j'ai reussi a le bloquer via le gestionnaire des taches en en arrettant le processus nmf.exe.

Aprés quelques recherche, il semble qu'il ne soit pas si evidant que ca a virer.

Quelqu'un peut il me donner un coup de main pour désinstaller ce truc proprement?

Merci

le rapport hikackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:07:20, on 06/06/2011
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.19019)
Boot mode: Normal

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\CSR\Vista Feature Pack 2.0\CSRBipPushResponder.exe
C:\Windows\AsScrPro.exe
D:\Logiciels installés\ZoneAlarm\zlclient.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Protector Suite QL\psqltray.exe
D:\Logiciels installés\Spy boot search & destroy\TeaTimer.exe
D:\Logiciels installés\Daemon\daemon.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
D:\Logiciels installés\PDFCreator\PDFCreator.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\Opera\Opera.exe
C:\Windows\system32\Dwm.exe
D:\Logiciels compressés\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\LOGICI~1\SPYBOO~1\SDHelper.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Program Files\Protector Suite QL\launcher.exe" /startup
O4 - HKLM\..\Run: [CSRSkype] C:\Program Files\CSR\Vista Feature Pack 2.0\CSRSkype.exe
O4 - HKLM\..\Run: [CSRBip] C:\Program Files\CSR\Vista Feature Pack 2.0\CSRBipPushResponder.exe
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\AsScrPro.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Logiciels installés\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [openvpn-gui] D:\Logiciels installés\UltraVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Logiciels installés\Spy boot search & destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools] "D:\Logiciels installés\Daemon\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - Startup: FreeCommander - Raccourci.lnk = ?
O4 - Global Startup: PDFCreator.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\LOGICI~1\OFFICE~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\LOGICI~1\OFFICE~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\LOGICI~1\SPYBOO~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\LOGICI~1\SPYBOO~1\SDHelper.dll
O13 - Gopher Prefix: 
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5DEC0C4-AE08-411F-8D2D-85ABE2B72883}: NameServer = 208.67.222.222,208.67.222.220
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Service Google Update (gupdate1c9e5e874f9c870) (gupdate1c9e5e874f9c870) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

jfkpresident · Answer

Hello,

* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Lance le.
* Lorsque demandé, tape 2 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

zf_tm · Answer

Merci pour ta réponse rapide JFK! Voici le rapport RogueKiller V5.2.2 [05/06/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Laptop TM [Droits d'admin] Mode: Suppression -- Date : 06/06/2011 21:33:12 Processus malicieux: 0 Entrees de registre: 3 [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\Laptop TM\AppData\Local\nmf.exe" -a "%1" %*) -> REPLACED : ("%1" %*) Fichier HOSTS: 127.0.0.1 localhost ::1 localhost 127.0.0.1 .archivioadulti.com 127.0.0.1 .internet-explorer.name 127.0.0.1 .katasearch.com 127.0.0.1 .preferiti-windows.com 127.0.0.1 .qoogler.com 127.0.0.1 .tuttoavolonta.com 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 00hq.com 127.0.0.1 www.00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.1001-search.info 127.0.0.1 1001-search.info [...] Termine : << RKreport[1].txt >> RKreport[1].txt

jfkpresident · Answer

Ok,maintenant relance roguekiller et choisis l'option 3 .

Ensuite on va vérifier ce pc plus en profondeur :

 Télécharge ZhpDiag de Nicolas Coolman .
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista/7).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php ou celui-ci : http://pjjoint.malekal.com/
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt (Une aide au cas ou])

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

zf_tm · Answer

Désolé pour le temps de réponse j'ai dus partir precipitament.

Voici le fichier .txt créé par ZHPdiag

http://www.cijoint.fr/cjlink.php?file=cj201106/cijepHjWMQ.txt

jfkpresident · Answer

* Telecharge et install UsbFix par El Desaparecido , C_XX & Chimay8 

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


* Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

* Laisse travailler l outil.

* Ensuite post le rapport UsbFix.txt qui apparaitra.

* Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

zf_tm · Answer

Bonjour JFK,

un peu de temps mort encore une fois! désolé!

voici le rapport USV fix

bonne soirée


############################## | UsbFix 7.048 | [Recherche]

Utilisateur: Laptop TM (Administrateur) # LAPTOPTM [ASUSTeK Computer Inc. N10J]
Mis à jour le 11/06/2011 par TeamXscript
Lancé à 19:25:08 | 14/06/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
CPU 2: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
Microsoft® Windows Vista(TM) Professionnel  (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.19019

Pare-feu Windows: Désactivé /!\
Firewall: ZoneAlarm Firewall 7.1.254.000 [Enabled]
RAM -> 2047 Mo 
C:\ (%systemdrive%) -> Disque fixe # 64 Go (6 Go libre(s) - 10%) [VistaOS] # NTFS
D:\ -> Disque fixe # 159 Go (22 Go libre(s) - 14%) [Nouveau nom] # NTFS
E:\ -> CD-ROM
G:\ -> CD-ROM
H:\ -> Disque fixe # 465 Go (317 Go libre(s) - 68%) [My Passport] # NTFS

################## | Éléments infectieux |

Présent! C:\Users\LAPTOP~1\AppData\Local\Temp\AutoRun.exe
Présent! G:\autorun.inf

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{1feadb27-d1d9-11dd-b55d-00235474e240}
Shell\AutoRun\Command = lc.exe
Shell\open\Command = lc.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{222b841e-cc8f-11de-aec3-00235474e240}
Shell\AutoRun\Command = WDSetup.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{384653d8-bb87-11df-8e3c-00235474e240}
Shell\AutoRun\Command = "G:\WD SmartWare.exe" autoplay=true

HKCU\.\.\.\.\Explorer\MountPoints2\{75b31e1d-04bd-11de-9c4d-00235474e240}
Shell\Auto\Command = AdobeR.exe e
Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\

HKCU\.\.\.\.\Explorer\MountPoints2\{a305421e-3269-11e0-a1a7-00235474e240}
Shell\Autoplay\Command = F:\RECYCLER\IeFcWyQ.exe
Shell\AutoRun\Command = F:\RECYCLER\IeFcWyQ.exe
Shell\Explore\Command = F:\RECYCLER\IeFcWyQ.exe
Shell\Open\Command = F:\RECYCLER\IeFcWyQ.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{d0df9f91-5204-11de-b75a-00235474e240}
Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\explore.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{ec992ab2-6a62-11df-8f68-002215f72ea6}
Shell\AutoRun\Command = F:\lc.exe
Shell\open\Command = F:\lc.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{f4b81b98-de43-11dd-a359-00235474e240}
Shell\AutoRun\Command = lc.exe
Shell\open\Command = lc.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{fd226102-76f9-11de-8f21-00235474e240}
Shell\AutoRun\Command = f2.bat
Shell\open\Command = f2.bat


################## | Vaccin |

G:\Autorun.inf -> Vaccin créé par Panda USB Vaccine

################## | E.O.F |

jfkpresident · Answer

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectées sans les ouvrir


* Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

* Ton bureau disparaitra et le pc redémarrera .

* Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

* Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

zf_tm · Answer

Bonjour JFK,

voici le rapport fourni par USBfix apres la "suppression".




############################## | UsbFix 7.048 | [Suppression]

Utilisateur: Laptop TM (Administrateur) # LAPTOPTM [ASUSTeK Computer Inc. N10J]
Mis à jour le 11/06/2011 par TeamXscript
Lancé à 20:27:35 | 14/06/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
CPU 2: Intel(R) Atom(TM) CPU N270 @ 1.60GHz
Microsoft® Windows Vista(TM) Professionnel  (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.19019

Pare-feu Windows: Désactivé /!\
Firewall: ZoneAlarm Firewall 7.1.254.000 [Enabled]
RAM -> 2047 Mo 
C:\ (%systemdrive%) -> Disque fixe # 64 Go (6 Go libre(s) - 9%) [VistaOS] # NTFS
D:\ -> Disque fixe # 159 Go (22 Go libre(s) - 14%) [Nouveau nom] # NTFS
E:\ -> CD-ROM
G:\ -> CD-ROM
H:\ -> Disque fixe # 465 Go (316 Go libre(s) - 68%) [My Passport] # NTFS

################## | Éléments infectieux |

Supprimé! C:\Users\LAPTOP~1\AppData\Local\Temp\AutoRun.exe
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1154188957-347751731-2034928810-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1154188957-347751731-2034928810-1000
Supprimé! H:\$RECYCLE.BIN\S-1-5-21-1010829395-1819695746-1868017384-1000
Supprimé! H:\$RECYCLE.BIN\S-1-5-21-1154188957-347751731-2034928810-1000
Supprimé! H:\$RECYCLE.BIN\S-1-5-21-1419453627-3269982658-3822434753-1000
Supprimé! H:\$RECYCLE.BIN\S-1-5-21-3324538344-3181994938-1668669037-1000
Supprimé! H:\$RECYCLE.BIN\S-1-5-21-4196774746-3260595060-4265305094-1000
Supprimé! H:\Recycler\S-1-5-21-2064385909-214107513-619646970-3210
Supprimé! H:\Recycler\S-1-5-21-4032727991-3195670759-2965297748-1164
Supprimé! H:\Recycler\S-1-5-21-4032727991-3195670759-2965297748-1179
Non supprimé ! G:\autorun.inf

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{1feadb27-d1d9-11dd-b55d-00235474e240}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{384653d8-bb87-11df-8e3c-00235474e240}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{75b31e1d-04bd-11de-9c4d-00235474e240}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{a305421e-3269-11e0-a1a7-00235474e240}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{d0df9f91-5204-11de-b75a-00235474e240}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{ec992ab2-6a62-11df-8f68-002215f72ea6}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{f4b81b98-de43-11dd-a359-00235474e240}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{fd226102-76f9-11de-8f21-00235474e240}

################## | Listing |

[07/03/2011 - 17:04:23 | D ] 	C:\$AVG8.VAULT$
[14/06/2011 - 20:54:07 | SHD ] 	C:\$RECYCLE.BIN
[18/09/2006 - 23:43:36 | N | 24] 	C:\autoexec.bat
[05/03/2011 - 18:40:23 | D ] 	C:\Boot
[11/04/2009 - 00:36:38 | RASH | 333257] 	C:\bootmgr
[16/04/2008 - 15:17:40 | N | 8192] 	C:\BOOTSECT.BAK
[18/09/2006 - 23:43:37 | N | 10] 	C:\config.sys
[01/11/2008 - 21:13:42 | N | 19670] 	C:\devlist.txt
[02/11/2006 - 15:02:24 | SHD ] 	C:\Documents and Settings
[29/04/2008 - 09:12:04 | N | 30] 	C:\DVD.LOG
[04/04/2007 - 21:01:58 | N | 19] 	C:\EA21.txt
[01/11/2008 - 21:13:33 | N | 9] 	C:\Finish.log
[09/02/2011 - 12:50:15 | D ] 	C:\idreg
[01/11/2008 - 19:34:12 | N | 481] 	C:\igoogle_log.txt
[01/11/2008 - 19:44:56 | D ] 	C:\Intel
[20/12/2008 - 22:36:36 | N | 0] 	C:\IO.SYS
[06/10/2008 - 05:46:41 | N | 21] 	C:\msapp2.LOG
[20/12/2008 - 22:36:36 | N | 0] 	C:\MSDOS.SYS
[29/08/2008 - 10:04:17 | N | 1048576] 	C:\N10.BIN
[02/09/2008 - 13:07:36 | N | 13] 	C:\N10J_N10JC_N10E_VISTA.10
[08/08/2008 - 09:22:19 | N | 30] 	C:\NERO.LOG
[04/07/2008 - 06:35:34 | N | 21] 	C:\NIS2008.TXT
[16/03/2007 - 01:18:45 | N | 25] 	C:\OFFICE2007_A.TXT
[14/06/2011 - 18:49:05 | ASH | 2460528640] 	C:\pagefile.sys
[01/11/2008 - 08:37:26 | N | 105] 	C:\Pass.txt
[18/08/2008 - 12:58:09 | N | 2561] 	C:\Patch.LOG
[21/01/2008 - 04:33:10 | D ] 	C:\PerfLogs
[06/06/2011 - 22:57:09 | N | 512] 	C:\PhysicalDisk0_MBR.bin
[06/06/2011 - 22:41:52 | D ] 	C:\Program Files
[06/06/2011 - 21:22:41 | HD ] 	C:\ProgramData
[29/04/2008 - 16:30:15 | N | 20] 	C:\READER_A.TXT
[02/09/2008 - 13:07:36 | N | 19] 	C:\RECOVERY.DAT
[01/11/2008 - 20:19:07 | N | 426] 	C:\RHDSetup.log
[01/11/2008 - 21:06:57 | N | 163] 	C:\setup.log
[16/05/2006 - 02:22:24 | N | 5] 	C:\store.log
[01/11/2008 - 18:04:58 | N | 166] 	C:\SumHidd.txt
[01/11/2008 - 18:04:09 | N | 98] 	C:\SumOS.txt
[09/06/2011 - 19:34:59 | SHD ] 	C:\System Volume Information
[14/06/2011 - 20:54:08 | D ] 	C:\UsbFix
[14/06/2011 - 20:27:36 | A | 4528] 	C:\UsbFix.txt
[20/12/2008 - 20:17:07 | D ] 	C:\Users
[01/08/2008 - 00:40:18 | N | 21] 	C:\V552.txt
[01/11/2008 - 20:30:06 | N | 166] 	C:\wconsole.log
[22/04/2011 - 10:10:41 | D ] 	C:\Windows
[14/06/2011 - 20:54:08 | SHD ] 	D:\$RECYCLE.BIN
[01/02/2011 - 13:05:25 | D ] 	D:\Boulot
[07/04/2011 - 07:21:05 | D ] 	D:\Courriel
[30/04/2011 - 17:22:43 | D ] 	D:\Document TM
[31/10/2010 - 18:22:20 | D ] 	D:\Download
[22/04/2011 - 13:38:47 | D ] 	D:\Film
[12/04/2011 - 10:44:34 | D ] 	D:\Jeux compressés
[13/04/2011 - 16:20:01 | D ] 	D:\Jeux installés
[05/03/2011 - 08:27:27 | D ] 	D:\Jeux install?s
[06/06/2011 - 21:07:00 | D ] 	D:\Logiciels compressés
[30/04/2011 - 10:12:50 | D ] 	D:\Logiciels installés
[22/12/2008 - 22:50:02 | RHD ] 	D:\MSOCache
[02/06/2011 - 09:09:00 | D ] 	D:\musique
[05/11/2010 - 13:25:09 | D ] 	D:\Partage
[06/05/2011 - 16:36:19 | D ] 	D:\Photos
[22/12/2008 - 18:05:11 | SHD ] 	D:\System Volume Information
[17/11/2010 - 22:43:40 | D ] 	D:	est rezo
[09/04/2011 - 15:12:19 | D ] 	D:\XP DD virtuel
[18/06/2009 - 23:12:18 | A | 88] 	G:\autorun.inf
[14/11/2009 - 02:33:06 | AD ] 	G:\Extras
[13/11/2009 - 21:25:22 | A | 3687200] 	G:\Unlock.exe
[13/11/2009 - 23:42:23 | AD ] 	G:\User Manuals
[14/11/2009 - 02:30:12 | A | 1456475] 	G:\Virtual CD Manager.exe
[14/11/2009 - 02:33:33 | AD ] 	G:\WD SmartWare
[13/11/2009 - 21:25:22 | A | 3280672] 	G:\WD SmartWare.exe
[18/06/2009 - 19:06:24 | A | 695] 	G:\What is this.html
[14/06/2011 - 20:54:08 | SHD ] 	H:\$RECYCLE.BIN
[26/05/2011 - 18:49:42 | D ] 	H:\Boulot
[12/04/2011 - 08:50:28 | D ] 	H:\Film
[14/06/2011 - 20:10:59 | N | 729264852] 	H:\Hannibal.avi
[12/04/2011 - 10:41:19 | D ] 	H:\Jeux compressés
[12/04/2011 - 08:47:25 | D ] 	H:\Logiciels compressés
[22/11/2010 - 20:28:12 | D ] 	H:\Maison
[12/04/2011 - 08:45:11 | D ] 	H:\musique
[15/12/2010 - 11:29:45 | D ] 	H:\Photos
[14/06/2011 - 20:53:52 | SHD ] 	H:\RECYCLER
[17/11/2010 - 15:32:21 | SHD ] 	H:\System Volume Information

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
G:\Autorun.inf -> Vaccin créé par Panda USB Vaccine
H:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_LAPTOPTM.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

jfkpresident · Answer

ok,on continu parcequ'il en reste :

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

zf_tm · Answer

Bonsoir JFK,

Un peu longue cette analyse mais la voila
Bonne fin de soirée a toi


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6872

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

16/06/2011 23:24:12
mbam-log-2011-06-16 (23-24-12).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 402584
Temps écoulé: 3 heure(s), 23 minute(s), 37 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\UsbFix\quarantine\H\$RECYCLE.BIN\s-1-5-21-1154188957-347751731-2034928810-1000\$R4L9CPF\office2007fr craked+serial number\3D mark\3dmark.vantage.professional.v1.0.incl.keymaker-core\keygen.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\laptop tm\AppData\Local
mf.exe (Trojan.ExeShell.Gen) -> Quarantined and deleted successfully.
c:\Users\Public\documents\office2007fr craked+serial number\3D mark\3dmark.vantage.professional.v1.0.incl.keymaker-core\keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
d:\logiciels compressés
eroinstaller\Keygen\keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
d:\logiciels compressés\office 2007\3D mark\3dmark.vantage.professional.v1.0.incl.keymaker-core\keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
d:\logiciels compressés\VNCealvnc.enterprise.v4.4.3.incl.keymaker.proper-zwt\keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
d:\jeux installés\silenthunteriii\silenthunteriii bad\missionengine.dll (Malware.Gen) -> Quarantined and deleted successfully.
d:\jeux installés\silenthunteriii\silenthunteriii bad\Utils.dll (Malware.Gen) -> Quarantined and deleted successfully.

jfkpresident · Answer

Arrff....Crack et keygen ..Tes infections viennent de la :(

Recolle moi un nouveau rapport ZhpDiag (avec l'aide de Cijoint) .

zf_tm · Answer

cher president,

J'étais sure que vous diriez ca!
c'est toi l'expert mais les crack et keygen sont la depuis un moment sans que je note de soucis. De plus ils sont passé a l'antivirus plusieurs fois sans soucis.

A l'inverse, je vois qu'il y a une appli nmf.exe. Celle-ci correspond bien a une tache que j'ai tué quand le problème d'ou découle ce post est arrivé.

Lorque j'avais mis fin a nmf.exe les chose etaient rentrés dans l'ordre. Cela m'avais permis de poster ce message. Auquel je te suis fort reconnaissant d'avoir répondu!

Je ne cherche pas a polémiquer mais a comprendre. Si mon soucis provient bien des crack et autres keygen... pourquoi mon antivirus n'a put les detecter, quand bien même ils ont étaient scannés de manière manuelle?

Voici le nouveau rapport comme tu le demande. Merci pour ton aide:

http://www.cijoint.fr/cjlink.php?file=cj201106/cijN8grL1M.txt

jfkpresident · Answer

Je ne cherche pas a polémiquer mais a comprendre. Si mon soucis provient bien des crack et autres keygen... pourquoi mon antivirus n'a put les detecter

Pour te répondre clairement : 

Il se peut que tes cracks téléchargés ne soient pas infectés mais il éxiste un gros risque pour qu'ils le soient . 

Il se peut également que ton antivirus n'ai pas la base de données nécessaire afin de déceler une infection dans un fichier téléchargé auquel cas il faudrait tous les passer sur VirusTotal (jt'e dit pas le boulot) . 

C'est pour cela que je préconise la désinstallation de ces cracks et également pour faire comprendre a l'internaute son "éventuel" érreur . 

Regarde cet exemple et tu va comprendre : ici  

========== 

Maintenant je voudrais vérifier quelquechose : 

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ces fichiers : 
 
C:\Program Files\CSR\Vista Feature Pack 2.0\CSRSkype.exe       
D:\Logiciels installés\Picasa
pPicasa3.dll       

Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse.  
***Membre Contributeur Sécurité***

zf_tm · Answer

JFK, 

Nous verifirons ce que tu souhaite et je suvrai tes instructions. 

Si le porblème viens effectivement d'un keygen ou autre, nous le verrons. 

Merci de m'avoir répondu. 

J'ai coller le rapport pour CSRSkype dans le liens ci-dessous. la premiere parti avec la taille du fichier 
la seconde avec les rapport d'analyses des differents antivir  

http://www.cijoint.fr/cjlink.php?file=cj201106/cijqUfMNYL.txt

Le rapport du second fichier est en cours

zf_tm · Answer

JFK, 

J'ai collé le deuxième rapport dans ce liens ci-joint: 

http://www.cijoint.fr/cjlink.php?file=cj201106/cijPMZz1Rz.txt 

Même principe que precedement. 
La premiere partie avec le "more info"  
deuxieme partie rapport des analyses. 

et je vais boire un jus d'orange
et je mes VirusTotal dans mes favoris

jfkpresident · Answer

RAS pour ces deux fichiers .

Copie dans le Presse-papier les lignes ci-dessous en gras (sélectionne les avec la souris et fais simultanément Ctrl et C)

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Ask Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll 
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Ask Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll    


Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

zf_tm · Answer

JFK,

Voici le rapport que j'obtiens.
Aucun redemarrage demandé.

Rapport de ZHPFix 1.12.330 par Nicolas Coolman, Update du 05/06/2011
Fichier d'export Registre : C:\ZHPExportRegistry-17-06-2011-20-36-33.txt
Run by Laptop TM at 17/06/2011 20:36:33
Windows Vista Business Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ABSENT CLSID BHO: {D4027C7F-154A-4066-A1AD-4243D8127440}

========== Valeur(s) du Registre ==========
ABSENT O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Ask Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll

========== Fichier(s) ==========
ABSENT File: c:\program files\ask.com


========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Fichier(s)


End of the scan

jfkpresident · Answer

Y a t'il des soucis qui persistent ?

zf_tm · Answer

Aucun. Autant que je puisse en juger, ca marche bien.  
Le truc pour leaquel je suis initialement venu (windows vista 2010 malware) ne me cause plus de problème. 

Je suis guéri docteur?

jfkpresident · Answer

Je suis guéri docteur?

On dirait bien :)

==*Nettoyage des outils*==

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Relance ZHPFix sur ton Bureau.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage. 

==========

Installe Ccleaner si tu ne le possedes pas :

Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l'installation, [décoche] l'option qui t'installerait Google chrome !

===========

Je vais insister sur le fait de lire attentivement ceci :

danger du P2P et des cracks

Je passe en "résolu" en éspérant ne plus te voir ici .

Bye et bon surf sur la toile .

zf_tm · Answer

JFK,

Je te remercie pour ton aide et pour ton temps.

je m'occupe du nettoyage tous de suite.

J'ai en partie lu l'interessante lecture que tu me conseil.
Je brulerais d'envie de poursuivre une conversation plus approfondie avec toi sur le sujet. Néanmoins, ton temps peut être plus sérieusement utilisé sur le forum et d'autre on besoin d'aide.

Merci a CCM

jfkpresident · Answer

On peut continuer la conversation en MP si ça t'intéresse .

zf_tm · Answer

mp envoyé, un peu long quand même...

Vista antispyware 2010 infection - Page 2

Newsletters