Infection virus/vers - Fenêtre intempestives Résolu/Fermé

Question

Bonjour, 

J'ai récupéré le netbook Acer Aspire One d'une collègue de travail qui était infecté.

J'ai désinstallé Avast qui s'ouvrait constament, faisant ramer le pc, et étant inutile.
J'ai installé Spybot - Search & Destroy, CCleaner, Malware Bytes et Avira Antivir.

Lorsqu'elle allumait son pc, des fenêtres intempestives s'ouvraient, elle ne pouvait pas se connecter à internet ni par I.E ni par Chrome. Et immédiatement après l'ouverture de windows, une fenetre apparaissait en signalant que le pc était infecté et qu'il fallait télécharger un antivirus.

En faisant plusieurs nettoyages avec les logiciels précédemment cités, la plupart des vers récurrents ont été supprimé.
Or, la dernière fois en rallumant le pc, la fenetre signalant l'infection s'est réouverte. J'ai lancé un nettoyage avec Antivir, qui m'a signalé 1 virus.

J'ai mis le pc à jour. Il est désormais en SP3.

Je l'ai rallumé aujourd'hui, et la fenêtre n'est pas apparue. 
J'ai tout de même lancé un scan Antivir, je vous laisse le rapport ci-contre :

-----------------------------------------------------------
Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 9 juin 2011  20:50

La recherche porte sur 2747012 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : 
Nom de l'ordinateur     : 

Informations de version :
BUILD.DAT               : 10.0.0.135     31823 Bytes  18/04/2011 14:35:00
AVSCAN.EXE              : 10.0.4.2      442024 Bytes  09/06/2011 17:49:17
AVSCAN.DLL              : 10.0.3.0       56168 Bytes  04/03/2011 12:38:44
LUKE.DLL                : 10.0.3.2      104296 Bytes  04/03/2011 12:38:33
LUKERES.DLL             : 10.0.0.0       13672 Bytes  04/03/2011 12:38:46
VBASE000.VDF            : 7.10.0.0    19875328 Bytes  06/11/2009 07:05:36
VBASE001.VDF            : 7.11.0.0    13342208 Bytes  14/12/2010 12:38:40
VBASE002.VDF            : 7.11.3.0     1950720 Bytes  09/02/2011 12:38:41
VBASE003.VDF            : 7.11.5.225   1980416 Bytes  07/04/2011 16:53:48
VBASE004.VDF            : 7.11.8.178   2354176 Bytes  31/05/2011 16:55:43
VBASE005.VDF            : 7.11.8.179      2048 Bytes  31/05/2011 16:55:46
VBASE006.VDF            : 7.11.8.180      2048 Bytes  31/05/2011 16:55:47
VBASE007.VDF            : 7.11.8.181      2048 Bytes  31/05/2011 16:55:47
VBASE008.VDF            : 7.11.8.182      2048 Bytes  31/05/2011 16:55:48
VBASE009.VDF            : 7.11.8.183      2048 Bytes  31/05/2011 16:55:48
VBASE010.VDF            : 7.11.8.184      2048 Bytes  31/05/2011 16:55:48
VBASE011.VDF            : 7.11.8.185      2048 Bytes  31/05/2011 16:55:49
VBASE012.VDF            : 7.11.8.186      2048 Bytes  31/05/2011 16:55:50
VBASE013.VDF            : 7.11.8.222    121856 Bytes  02/06/2011 16:55:56
VBASE014.VDF            : 7.11.9.7      134656 Bytes  04/06/2011 17:49:16
VBASE015.VDF            : 7.11.9.42     136192 Bytes  06/06/2011 17:49:16
VBASE016.VDF            : 7.11.9.72     117248 Bytes  07/06/2011 17:49:17
VBASE017.VDF            : 7.11.9.107    130560 Bytes  09/06/2011 17:49:17
VBASE018.VDF            : 7.11.9.108      2048 Bytes  09/06/2011 17:49:17
VBASE019.VDF            : 7.11.9.109      2048 Bytes  09/06/2011 17:49:17
VBASE020.VDF            : 7.11.9.110      2048 Bytes  09/06/2011 17:49:17
VBASE021.VDF            : 7.11.9.111      2048 Bytes  09/06/2011 17:49:17
VBASE022.VDF            : 7.11.9.112      2048 Bytes  09/06/2011 17:49:17
VBASE023.VDF            : 7.11.9.113      2048 Bytes  09/06/2011 17:49:17
VBASE024.VDF            : 7.11.9.114      2048 Bytes  09/06/2011 17:49:17
VBASE025.VDF            : 7.11.9.115      2048 Bytes  09/06/2011 17:49:17
VBASE026.VDF            : 7.11.9.116      2048 Bytes  09/06/2011 17:49:17
VBASE027.VDF            : 7.11.9.117      2048 Bytes  09/06/2011 17:49:17
VBASE028.VDF            : 7.11.9.118      2048 Bytes  09/06/2011 17:49:17
VBASE029.VDF            : 7.11.9.119      2048 Bytes  09/06/2011 17:49:17
VBASE030.VDF            : 7.11.9.120      2048 Bytes  09/06/2011 17:49:17
VBASE031.VDF            : 7.11.9.132     67584 Bytes  09/06/2011 17:49:17
Version du moteur       : 8.2.5.12  
AEVDF.DLL               : 8.1.2.1       106868 Bytes  04/03/2011 12:38:14
AESCRIPT.DLL            : 8.1.3.65     1606010 Bytes  02/06/2011 16:59:02
AESCN.DLL               : 8.1.7.2       127349 Bytes  04/03/2011 12:38:13
AESBX.DLL               : 8.2.1.34      323957 Bytes  02/06/2011 16:59:08
AERDL.DLL               : 8.1.9.9       639347 Bytes  02/06/2011 16:58:39
AEPACK.DLL              : 8.2.6.8       557430 Bytes  02/06/2011 16:58:14
AEOFFICE.DLL            : 8.1.1.25      205178 Bytes  02/06/2011 16:57:58
AEHEUR.DLL              : 8.1.2.123    3502456 Bytes  02/06/2011 16:57:54
AEHELP.DLL              : 8.1.17.2      246135 Bytes  02/06/2011 16:56:40
AEGEN.DLL               : 8.1.5.6       401780 Bytes  02/06/2011 16:56:35
AEEMU.DLL               : 8.1.3.0       393589 Bytes  04/03/2011 12:38:03
AECORE.DLL              : 8.1.21.1      196983 Bytes  02/06/2011 16:56:25
AEBB.DLL                : 8.1.1.0        53618 Bytes  04/03/2011 12:38:02
AVWINLL.DLL             : 10.0.0.0       19304 Bytes  04/03/2011 12:38:19
AVPREF.DLL              : 10.0.0.0       44904 Bytes  04/03/2011 12:38:18
AVREP.DLL               : 10.0.0.10     174120 Bytes  02/06/2011 16:59:19
AVREG.DLL               : 10.0.3.2       53096 Bytes  04/03/2011 12:38:18
AVSCPLR.DLL             : 10.0.4.2       84840 Bytes  09/06/2011 17:49:17
AVARKT.DLL              : 10.0.22.6     231784 Bytes  04/03/2011 12:38:15
AVEVTLOG.DLL            : 10.0.0.8      203112 Bytes  04/03/2011 12:38:17
SQLITE3.DLL             : 3.6.19.0      355688 Bytes  17/06/2010 12:28:02
AVSMTP.DLL              : 10.0.0.17      63848 Bytes  04/03/2011 12:38:19
NETNT.DLL               : 10.0.0.0       11624 Bytes  17/06/2010 12:28:01
RCIMAGE.DLL             : 10.0.0.26    2550120 Bytes  10/02/2010 22:23:03
RCTEXT.DLL              : 10.0.58.0      99688 Bytes  04/03/2011 12:38:46

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Disques durs locaux
Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\alldiscs.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : jeudi 9 juin 2011  20:50

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avshadow.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LMworker.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MWLService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EgisUpdate.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IAANTMon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'UpdaterService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AcerVCM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'cacaoweb.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DDmService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DivXUpdate.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iUpdate.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iSync.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'snuvcdsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mwlDaemon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PmmUpdate.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'iaanotif.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RS_Service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbamservice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dsiwmis.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Explorer.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [RESULTAT]  Contient le code du virus de secteur dapos;amorçage BOO/TDss.M
    [REMARQUE]  Le secteur n'a pas été réécrit !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [RESULTAT]  Contient le code du virus de secteur dapos;amorçage BOO/TDss.M
    [REMARQUE]  Le secteur n'a pas été réécrit !
Secteur d'amorçage 'D:\'
    [RESULTAT]  Contient le code du virus de secteur dapos;amorçage BOO/TDss.M
    [REMARQUE]  Le secteur n'a pas été réécrit !

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '465' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <ACER>
C:\WINDOWS\SoftwareDistribution\Download\a424b479d645d6c684837569de1b9fdc\BIT14.tmp
[0] Type d'archive: CABSFX
  --> Object
    [1] Type d'archive: CAB (Microsoft)
--> silverlight.7z
[AVERTISSEMENT] Impossible de lire le fichier !
Recherche débutant dans 'D:\'


Fin de la recherche : jeudi 9 juin 2011  21:30
Temps nécessaire: 39:49 Minute(s)

La recherche a été effectuée intégralement

   5565 Les répertoires ont été contrôlés
 198213 Des fichiers ont été contrôlés
      3 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      0 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      0 Impossible de scanner des fichiers
 198213 Fichiers non infectés
   7154 Les archives ont été contrôlées
      1 Avertissements
      3 Consignes
---------------------------------------------------------

Pouvez-vous me dire si, effectivement, il reste une infection sur le pc?
Et si oui, pouvez vous m'aider à le nettoyer.

Je vous remercie d'avance pour votre aide.

Cordialement.


Configuration: Windows XP / Firefox 4.0.1

kwyky40 · Answer

Telecharge glary utilitie cela peut remettre le pc en forme et dans l'onglet executer du Windows execute cette commande msconfig puis Dans la fenetre qui s'ouvre tu a un onglet demarage regarde dans la liste de prog si il y en n'a pas des suspet

Utilisateur anonyme · Answer

Bonjour,   

1) * Télécharge sur le bureau RogueKiller (par tigzy)     
https://www.luanagames.com/index.fr.html     


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )     

* Quitte tous tes programmes en cours     
* Lance RogueKiller.exe.     
* Lorsque demandé, tape 2 et valide     
*Si le rogue empêche le lancement du programme, Renomme (RogueKiller) en "winlogon" ou "firefox". Sinon renomme le  en winlogon.exe ou firefox.exe (rajouter l'extension .exe)    
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse     
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.     

Ensuite tu relance RogueKiller puis tu tapes 4 ensuite 6  

Tu postes donc les trois rapports de rogueKiller  


-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*   
Membre, Contributeur   

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

tomafou · Answer

Bonjour, Merci beaucoup pour votre aide. Avant de suivre vos différentes procédures, un message d'erreur windows est apparu au démarrage du pc : "C:\Windows\mpeufcn.dll n'a pas été trouvé" Puis, Avira m'ouvre une fenêtre en bas à droite, au dessus de l'horloge, en m'indiquant une erreur sur "C:\SystemVolumeInformation\...\A0000026.sys". En cliquant sur "détail" Avira m'indique que le fichier "C:\SystemVolumeInformation\...\A0000026.sys" est infecté par 'TR/Trash.gen'. et me propose de le mettre en quarantaine. Je n'ai volontairement rien fait et j'ai donc suivi la solution de kwyky40 dans un premier temps. Glary Utilitie, n'a rien trouvé de vraiment suspect. Il a su supprimer et réparer toutes les erreurs et fichiers corrompus qu'il a détecté. Ensuite, j'ai suivi la procédure de Marmar66 : Voici le rapport généré suite au mode RECHERCHE de RogueKiller : RogueKiller V5.2.2 [05/06/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: [Droits d'admin] Mode: Recherche -- Date : 11/06/2011 14:27:34 Processus malicieux: 0 Entrees de registre: 3 [SUSP PATH] HKLM\[...]\Run : PLFSetL (C:\WINDOWS\PLFSetL.exe) -> FOUND [SUSP PATH] HKLM\[...]\Run : snuvcdsm (C:\WINDOWS\snuvcdsm.exe) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND Fichier HOSTS: 127.0.0.1 localhost 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com [...] Termine : << RKreport[1].txt >> RKreport[1].txt Voici le rapport généré suite au mode SUPPRESSION de RogueKiller : RogueKiller V5.2.2 [05/06/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: [Droits d'admin] Mode: Suppression -- Date : 11/06/2011 14:28:03 Processus malicieux: 0 Entrees de registre: 3 [SUSP PATH] HKLM\[...]\Run : PLFSetL (C:\WINDOWS\PLFSetL.exe) -> DELETED [SUSP PATH] HKLM\[...]\Run : snuvcdsm (C:\WINDOWS\snuvcdsm.exe) -> DELETED [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) Fichier HOSTS: 127.0.0.1 localhost 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com [...] Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt Voici le rapport généré suite au mode PROXY RAZ de RogueKiller : RogueKiller V5.2.2 [05/06/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: [Droits d'admin] Mode: Proxy RAZ -- Date : 11/06/2011 14:28:37 Processus malicieux: 0 Entrees de registre: 0 Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt Voici le rapport généré suite au mode RACCOURCIS RAZ de RogueKiller : RogueKiller V5.2.2 [05/06/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: [Droits d'admin] Mode: Raccourcis RAZ -- Date : 11/06/2011 14:29:43 Processus malicieux: 0 Attributs de fichiers restaures: Bureau: Success 48 / Fail 0 Lancement rapide: Success 0 / Fail 0 Programmes: Success 15 / Fail 0 Menu demarrer: Success 0 / Fail 0 Dossier utilisateur: Success 145 / Fail 0 Mes documents: Success 18 / Fail 0 Mes favoris: Success 0 / Fail 0 Mes images: Success 0 / Fail 0 Ma musique: Success 0 / Fail 0 Mes videos: Success 0 / Fail 0 Disques locaux: Success 781 / Fail 0 Sauvegarde: [NOT FOUND] Lecteurs: [C:] \Device\HarddiskVolume3 -- 0x3 --> Restored [D:] \Device\HarddiskVolume2 -- 0x3 --> Restored Termine : << RKreport[4].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt Je poste aussi le rapport QuarantineReport, contenu dans le dossier RK_Qurantine, généré suite à l'utilisation de RogueKiller. Time : 11/06/2011 14:27:34 -------------------------- [plfsetl.exe.vir] -> c:\windows\plfsetl.exe [snuvcdsm.exe.vir] -> c:\windows\snuvcdsm.exe Time : 11/06/2011 14:28:03 -------------------------- [plfsetl.exe.vir] -> c:\windows\plfsetl.exe [snuvcdsm.exe.vir] -> c:\windows\snuvcdsm.exe Time : 11/06/2011 14:28:37 -------------------------- Time : 11/06/2011 14:29:43 -------------------------- Suite à ces différentes manoeuvres, j'ai redémarré le pc. Les fenêtres de Windows et d'Avira ne se sont pas réouvertes. J'attends de vos nouvelles pour continuer la désinfection, et vous remercie grandement pour votre aide. Cordialement.

Utilisateur anonyme · Answer

Re, 

Maintenant fais ceci stp : 

1/


*Télécharges Malwarebytes' (mbam)   

ICI >> Malwarebytes' (mbam)   
  

* installes + mise a jour  
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir  
* Lances--> Malwarebytes (MBAM)  
* Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet  
* puis "Rechercher"  
* Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"  
* A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport  
*Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection  
* S'il t' es demandé de redémarrer, clique sur "oui "  
* aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici  
!!! Ne pas vider la quarantaine de MBAM sans avis !!!  

2/
C:\SystemVolumeInformation\...\A0000026.sys

Ensuite on va vider la restauration du système infecté!


@+ 
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-* 
Membre, Contributeur 

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

tomafou · Answer

Je viens de faire la procédure avec Malwarebytes.

Voici ce qu'il a trouver :
Vendor : Adware.QuestBrowse
Category : Registry Key
Item : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QUESTBROWSE_

J'ai donc supprimé la sélection.
Et redémarrer le pc.

Voici le rapport : 

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Database version: 6834

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11/06/2011 16:09:18
mbam-log-2011-06-11 (16-09-18).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 198456
Time elapsed: 48 minute(s), 42 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 1
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QUESTBROWSE_SERVICE (Adware.QuestBrowse) -> Quarantined and deleted successfully.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)


Au redémarrage, la fenêtre Avira s'est réouverte en m'indiquant une erreur sur "C:\SystemVolumeInformation\...\A0000026.sys".
J'ai cliqué sur "Supprimer" et j'ai redémarré le pc.

Utilisateur anonyme · Answer

Re,

Nous allons effectuer un diagnostic de ton PC: 
*Télécharge ZHPDiag sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag" 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : 
http://pjjoint.malekal.com/ 

Si indisponible: 
http://www.cijoint.fr/ 

* Tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com 

* Rends toi sur http://pjjoint.malekal.com/ 
* Clique sur le bouton Parcourir 
* Sélectionne le fichier que tu veux heberger et clique sur Ouvrir 
*Clique sur le bouton Envoyer 
* Un message de confirmation s'affiche, copie le lien dans ta prochaine réponse.

@+

tomafou · Answer

Bonjour, voici le lien demandé vers le rapport Zhpdiag : http://pjjoint.malekal.com/files.php?id=f8335259eb14614 Bien cordialement.

Utilisateur anonyme · Answer

Re,

Le rapport est vide, refais ce qui est demandé ICI stp

@+

tomafou · Answer

Désolé.

Voici les liens pjjoint :
https://pjjoint.malekal.com/files.php?id=f8335259eb14118
https://pjjoint.malekal.com/files.php?read=f8335259eb14118

ou le lien cijoint :
http://www.cijoint.fr/cjlink.php?file=cj201106/cijSMPE4CG.txt

Merci pour votre aide.

Cordialement.

Utilisateur anonyme · Answer

Re,

Ton PC est très infecté!

On commence par les adwares :


* Télécharge de AD-Remover sur ton Bureau. 
http://www.teamxscript.org/adremoverTelechargement.html 

/!\ Ferme toutes applications en cours /!\ 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « Nettoyer » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c

@+

tomafou · Answer

Voici le rapport de AD-Remover : 

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:04:43 le 12/06/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
dounia ELHADI@DOUNIAELHADI ( ) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\OfferBox Browser.lnk
Dossier supprimé: C:\Documents and Settings\dounia ELHADI\Local Settings\Application Data\Conduit
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\Documents and Settings\dounia ELHADI\Local Settings\Application Data\ConduitEngine
Dossier supprimé: C:\Program Files\ConduitEngine
Dossier supprimé: C:\Documents and Settings\dounia ELHADI\Application Data\PriceGong
Dossier supprimé: C:\Documents and Settings\dounia ELHADI\Application Data\OfferBox
Dossier supprimé: C:\Program Files\OfferBox

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Classes\CLSID\{61274BAE-6DC7-43F9-85C4-75B95C6E3742}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{61274BAE-6DC7-43F9-85C4-75B95C6E3742}
Clé supprimée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}
Clé supprimée: HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé supprimée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2769726
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\conduitEngine
Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\conduitEngine
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKCU\Software\PriceGong
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4E79EBC2-07BE-4471-8FE6-87FE5DD72EBE}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox Browser
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{30F9B915-B755-4826-820B-08FBA6BD249D}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{30F9B915-B755-4826-820B-08FBA6BD249D}


============== SCAN ADDITIONNEL ==============

**** Google Chrome Version [12.0.742.91] ****

Extension\fnjbmmemklcjgepojigaapkoodmkgbae (C:\Program Files\DivX\DivX Plus Web Player\google_chrome\wpa\wpa.crx) (?)
Extension
neajnkjbffgblleaoojgaacokifdkhm (C:\Program Files\DivX\DivX Plus Web Player\google_chrome\html5video\html5video.crx) (?)

-- C:\Documents and Settings\dounia ELHADI\Local Settings\Application Data\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage: hxxp://www.google.com
Preferences - homepage_is_newtabpage: true
Plugin - "McSimpleChromePlugin Dynamic Link Library" (Activé: true)

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{f4e6547e-325b-403c-a3bb-ad29ed37a92f} - "SearchElf 1.2 Toolbar" (C:\Program Files\SearchElf_1.2	bSear.dll)
HKCU_SearchScopes\{0633EE93-1111-472f-A0FF-E1416B8B2EAA} - "Search" (hxxp://www.wiiqi.com/google?q={searchTerms}&sa=Search&cx=partner-pub-35468619388...)
HKCU_Toolbar\WebBrowser|{F4E6547E-325B-403C-A3BB-AD29ED37A92F} (C:\Program Files\SearchElf_1.2	bSear.dll)
HKLM_Toolbar|{f4e6547e-325b-403c-a3bb-ad29ed37a92f} (C:\Program Files\SearchElf_1.2	bSear.dll)
HKLM_ElevationPolicy\{5F17E524-3447-4c7d-8E5F-4EFF31CDE3B7} - C:\Program Files\DivX\DivX Plus Web Player\DDMService.exe (DivX, LLC)
HKLM_ElevationPolicy\{64903E32-AE0B-408D-909C-09A08791F28D} - C:\Program Files\DivX\DivX Plus Web Player\dwpBroker.exe (DivX, LLC)
HKLM_ElevationPolicy\{88CD041A-2FDC-4C81-B081-89F4C103C09B} - C:\Program Files\SearchElf_1.2\SearchElf_1.2ToolbarHelper.exe (?)
HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files\Fichiers communs\Oberon Media\OberonBroker\1.0.0.63\OberonBroker.exe (?)
HKLM_ElevationPolicy\{D802E3EF-2513-4661-972E-BAD737EFBA88} - C:\Program Files\DivX\DivX OVS Helper\OVSHelperBroker.exe (DivX, LLC.)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{326E768D-4182-46FD-9C16-1449A49795F4} - "DivX Plus Web Player HTML5 <video>" (C:\Program Files\DivX\DivX Plus Web Player
pdivx32.dll)
BHO\{593DDEC6-7468-4cdd-90E1-42DADAA222E9} - "DivX HiQ" (C:\Program Files\DivX\DivX Plus Web Player
pdivx32.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll)
BHO\{f4e6547e-325b-403c-a3bb-ad29ed37a92f} - "SearchElf 1.2 Toolbar" (C:\Program Files\SearchElf_1.2	bSear.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 47 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 12/06/2011 19:04:57 (6239 Octet(s)) 

Fin à: 19:06:08, 12/06/2011 
 
============== E.O.F ==============

Utilisateur anonyme · Answer

Re,
1/
Télécharge ZHPFixScript.txt sur ton bureau depuis ce lien :
http://www.cijoint.fr/cjlink.php?file=cj201106/cijJ5kZyHP.txt
Lance ZHPFix et clique sur le H (coller les lignes helpers) 
Fait un glisser/déposer de ZHPFixScript.txt dans ZHPFix 
Clique sur le bouton GO 
Héberge le rapport et donne le lien

2/
* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau 

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe 

* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur 
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse 
* Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée, 
* Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip), 
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:	dsskillereport.txt) 

@+

tomafou · Answer

Bonsoir,

voici le rapport ZHPFix:
https://pjjoint.malekal.com/files.php?id=04ebb7dca812109
et celui de tdsskiller:
https://pjjoint.malekal.com/files.php?id=a89c8c780713137

Au redémarrage du pc, suite au travail de Tdsskiller, Avira m'a réouvert une fenêtre :
 Guard : Autorun Bloqué
Date/Heure : 12/06/2011, 20:19
Type : Autorun bloqué
"Pour votre sécurité, l'accès au fichier 'D:\AUTORUN.INF' a été bloqué."

Merci pour votre aide.

Utilisateur anonyme · Answer

Re,

1/
Concernant Avira :

? Ouvrir Antivir 
? Clique sur Configuration 
? Coche le Mode Expert 
? Sur le volet droit, clique sur Guard (à chaque fois, tu 
devras cliquer sur le petit +) >Recherche>action si résultat positif 
? Décoche Bloquer la fonction d''autodémarrage 
? Clique sur Accepter, puis sur OK 
? Tu peux fermer Antivir 

Aide en images : http://dl.dropbox.com/u/22950063/config_antivir.JPG

2/
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\  
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.  
* Merci à Malekal pour le tutoriel  
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)  
* Double clique sur mbr.exe  
* Un rapport sera généré : mbr.log  
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.  
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:  

=> Sous XP : "%userprofile%\Bureau\mbr" -f    

=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f   

* (veuillez à bien respecter les guillemets)  
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"  
* Réactive tes protections .Poste ce rapport et supprime le ensuite.  

o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)  
o Relance mbr.exe  
o Réactive tes protections.  
o Le nouveau mbr.log devrait être celui-ci :  
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net  
o device: opened successfully  
user: MBR read successfully  
kernel: MBR read successfully  
user & kernel MBR OK


3/
*Télécharges Malwarebytes' (mbam) 

ICI >> Malwarebytes' (mbam) 

* installes + mise a jour 
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir 
* Lances--> Malwarebytes (MBAM) 
* Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet 
* puis "Rechercher" 
* Sélectionnes tes disques durs" puis clique sur "Lancer l'examen" 
* A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport 
*Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection 
* S'il t' es demandé de redémarrer, clique sur "oui " 
* aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici 
!!! Ne pas vider la quarantaine de MBAM sans avis !!! 

@+

tomafou · Answer

Bonjour,

comme souhaité, voici le rapport MBR :

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD16 rev.01.0 -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 

Je n'ai pas eu a relancer MBR pour avoir ce rapport, il me l'a affiché tout de suite à la fin de son execution.

Voici aussi le rapport Mbam, qui n'a rien trouvé :

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Database version: 6848

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13/06/2011 18:56:39
mbam-log-2011-06-13 (18-56-39).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 200379
Time elapsed: 51 minute(s), 26 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)



Toutefois, la fenêtre Avira s'est réouverte pour m'indiquer :
Guard : Logiciel malveillant détecté
date/heure : 13/06/2011, 18:58
Type : Résultat positif
"Dans le fichier 'C:\System Volume Information\...\A0001243.sys', un virus ou un programme indésirable 'TR/Patched.Gen' a été trouvé.

Dois-je cliquer sur "supprimer" lors de l'apparition de ces fenêtres ou attendre vos avis?

Merci de votre aide,

cordialement

Utilisateur anonyme · Answer

Re,

Prépare un nouveau rapport ZHPDiag stp !

@+

tomafou · Answer

rapport ZHPDiag : 

http://www.cijoint.fr/cjlink.php?file=cj201106/cijeyWECmX.txt

Utilisateur anonyme · Answer

Re,

1/

Attention, avant de commencer, lit attentivement la procédure 

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\ 

? Fais un clic droit sur ce lien, enregistre le dans ton bureau 

Voici Aide combofix 


? /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\ 
 

? Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven) 

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

? ? SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 
(si il te propose de l'installer remets internet) 

? Mets-le en langue française F 

? Tape sur la touche 1 (Yes) pour démarrer le scan. 


? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

?En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

? Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

? ? /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

? Note : Le rapport se trouve également là : C:\ComboFix.txt  


2/
Copie tout le texte présent ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 



[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{f4e6547e-325b-403c-a3bb-ad29ed37a92f}]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f4e6547e-325b-403c-a3bb-ad29ed37a92f}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]     
[HKCU\Software\cacaoweb]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar] 
C:\Program Files\cacaoweb     
C:\Documents and Settings\dounia ELHADI\Application Data\cacaoweb     
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe     
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe     




Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.


@+

tomafou · Answer

Voici le rapport ComboFix:

http://www.cijoint.fr/cjlink.php?file=cj201106/cijXFEqjU0.txt

et le rapport ZHPFix :
http://www.cijoint.fr/cjlink.php?file=cj201106/cijvzAJuQq.txt

Merci!

Utilisateur anonyme · Answer

Re,

Pour vérification stp un nouveau rapport ZHPDiag!

@+

tomafou · Answer

bonsoir,

voici le rapport ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijdHgrNR4.txt

Cordialement

Utilisateur anonyme · Answer

Re,

Relance RogueKiller et tape l'option 1 puis poste le rapport

@+

tomafou · Answer

Bonjour, désolé pour le retard, j'ai été beaucoup pris ces derniers jours. Voici le rapport de RogueKiller demandé : RogueKiller V5.2.2 [05/06/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: dounia ELHADI [Droits d'admin] Mode: Recherche -- Date : 18/06/2011 13:42:42 Processus malicieux: 0 Entrees de registre: 0 Fichier HOSTS: 127.0.0.1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt Merci pour votre aide.

Utilisateur anonyme · Answer

Re, 
1/ 
Relance Malwarebytes, fais la mise à jour puis refais une analyse complète 

ensuite poste le rapport 

2/ 
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )  


O4 - HKCU\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe    => Safer Net Working®Spybot S&D 
O4 - HKUS\S-1-5-21-2505351160-784569582-2966927733-1006\..\Run: [SpybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe    => Safer Net Working®Spybot S&D 
O41 - Driver: McAfee Inc. mfetdi2k (mfetdi2k) . (. - .) - C:\WINDOWS\System32\drivers\mfetdi2k.sys (.not file.) 
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1    => Safer Networking Limited Spybot - S&D 
O43 - CFD: 02/06/2011 - 15:12:52 - [55654] ----D- C:\Documents and Settings\dounia ELHADI\Application Data\A4FBC0D4638EBA857F93B47A9A842382 
C:\Documents and Settings\dounia ELHADI\Application Data\A4FBC0D4638EBA857F93B47A9A842382 
O43 - CFD: 02/06/2011 - 16:53:26 - [64527938] ----D- C:\Program Files\Spybot - Search & Destroy    => Spybot - Search & Destroy 
O64 - Services: CurCS - (.not file.) - 42383915 (42383915)  .(...) - LEGACY_42383915 
O64 - Services: CurCS - (.not file.) - 5e029f0c (5e029f0c)  .(...) - LEGACY_5E029F0C 
O64 - Services: CurCS - (.not file.) - lhtyhqaf (lhtyhqaf)  .(...) - LEGACY_LHTYHQAF 
FirewallRAZ 
EmptyTemp 
EmptyFlash 



Puis Lance ZHPFix depuis le raccourci du bureau .  

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

Clique sur le bouton  GO 

Copie/Colle le rapport à l'écran dans ton prochain message. 

3/ 

* Télécharge OTM (OldTimer) sur ton Bureau  

ICI >> OTM (OldTimer)  
* Double clic "OTMoveIt3.exe"  
* Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer.  

- Copie (Ctrl+C) le texte suivant en gras ci-dessous :  


 
:Reg  
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar] 

:commands  
[emptytemp]  
[Reboot] 

 

- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.  
- Clique maintenant sur le bouton MoveIt!  
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.  
Accepte en cliquant sur YES.  
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\  
Le nom du rapport correspond au moment de sa création : date_heure.log 

4/ 
Dis moi l'état de ton PC ? 

@+ 


-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-* 
Membre, Contributeur 

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

tomafou · Answer

Bonjour,

voici les rapports souhaités :

Malware Bytes :
/!\ Pendant le scan, la fenetre AVIRA s'est ouverte pour m'annoncer un virus. Apres TOUTE la procédure que vous m'avez décrite et le reboot du pc, j'ai relancé un scan Malware Bytes, la fenetre AVIRA ne s'est toujours pas réouverte depuis.

Voici le rapport :

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Database version: 6894

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19/06/2011 14:30:16
mbam-log-2011-06-19 (14-30-16).txt

Scan type: Full scan (C:\|D:\|)
Objects scanned: 201312
Time elapsed: 48 minute(s), 59 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)


Rapport ZHPFix :

Rapport de ZHPFix 1.12.3307 par Nicolas Coolman, Update du 10/06/2011
Fichier d'export Registre : 
Run by dounia ELHADI at 19/06/2011 14:43:46
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
SUPPRIME O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1

========== Clé(s) du Registre ==========
SUPPRIME Driver Key: mfetdi2k
SUPPRIME Service Legacy: LEGACY_42383915
SUPPRIME Service Legacy: LEGACY_5E029F0C
SUPPRIME Service Legacy: LEGACY_LHTYHQAF

========== Valeur(s) du Registre ==========
ABSENT RunValue: SpybotSD TeaTimer
Aucune valeur présente dans la clé d'exception du registreFirewallRaz : 

========== Dossier(s) ==========
SUPPRIME C:\Documents and Settings\dounia ELHADI\Application Data\A4FBC0D4638EBA857F93B47A9A842382
SUPPRIME Reboot C:\Program Files\Spybot - Search & Destroy
SUPPRIME Temporaires Windows: : 74
SUPPRIME Flash Cookies: 3

========== Fichier(s) ==========
ABSENT File: c:\program files\spybot - search & destroy	eatimer.exe
ABSENT Folder/File: c:\documents and settings\dounia elhadi\application data\a4fbc0d4638eba857f93b47a9a842382 
SUPPRIME Temporaires Windows: : 44
SUPPRIME Flash Cookies: 2


========== Récapitulatif ==========
4 : Clé(s) du Registre
2 : Valeur(s) du Registre
4 : Dossier(s)
4 : Fichier(s)
1 : Logiciel(s)


End of the scan


Rapport OTM :

All processes killed
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar\ not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 396 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 185614681 bytes
->Temporary Internet Files folder emptied: 227485 bytes
->Flash cache emptied: 396 bytes
 
User: dounia ELHADI
->Temp folder emptied: 65572 bytes
->Temporary Internet Files folder emptied: 1985025 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 41990685 bytes
->Flash cache emptied: 692 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 196742 bytes
->Flash cache emptied: 9542 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 131206 bytes
->Flash cache emptied: 564 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2631860 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 227753 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 222,00 mb
 
 
OTM by OldTimer - Version 3.1.18.0 log created on 06192011_144614

Files moved on Reboot...

Registry entries deleted on Reboot...

Qu'en est-il ? Le PC est toujours infecté?

Merci de votre aide.

Utilisateur anonyme · Answer

Re,

On va le vérifier maintenant après avoir préparé un nouveau 

rapport ZHPDiag (à l'héberger )  :)

tomafou · Answer

re,

voici le rapport : 

http://www.cijoint.fr/cjlink.php?file=cj201106/cijfi1IT76.txt

Utilisateur anonyme · Answer

Re,

Il existe quelques lignes à virer!

Copie tout le texte présent ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


O2 - BHO: (no name) - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} Clé orpheline    => Infection BT (Hijack.Browser)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]    => Infection BT (Hijack.Browser)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]    => Infection BT (Hijack.Browser)
O2 - BHO: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} Clé orpheline    => Toolbar.Conduit
O2 - BHO: (no name) - {f4e6547e-325b-403c-a3bb-ad29ed37a92f} Clé orpheline    => Conduit SearchElf Toolbar
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}]    => Toolbar.Conduit
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]    => Toolbar.Conduit
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{f4e6547e-325b-403c-a3bb-ad29ed37a92f}]    => Conduit SearchElf Toolbar
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f4e6547e-325b-403c-a3bb-ad29ed37a92f}]    => Conduit SearchElf Toolbar
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar]
O43 - CFD: 19/06/2011 - 14:43:06 - [1168216] ----D- C:\Program Files\Spybot - Search & Destroy    => Spybot - Search & Destroy




Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.

@+

tomafou · Answer

re,

voici le rapport : 

Rapport de ZHPFix 1.12.3307 par Nicolas Coolman, Update du 10/06/2011
Fichier d'export Registre : 
Run by dounia ELHADI at 19/06/2011 18:35:42
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME CLSID BHO: {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
SUPPRIME HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
ABSENT HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
SUPPRIME CLSID BHO: {30F9B915-B755-4826-820B-08FBA6BD249D}
SUPPRIME CLSID BHO: {f4e6547e-325b-403c-a3bb-ad29ed37a92f}
SUPPRIME HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
ABSENT HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
SUPPRIME HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{f4e6547e-325b-403c-a3bb-ad29ed37a92f}
ABSENT HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f4e6547e-325b-403c-a3bb-ad29ed37a92f}
ABSENT HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar

========== Dossier(s) ==========
SUPPRIME Reboot C:\Program Files\Spybot - Search & Destroy


========== Récapitulatif ==========
10 : Clé(s) du Registre
1 : Dossier(s)


End of the scan

Utilisateur anonyme · Answer

Re,

Comment va ton PC ?

As tu des soucis ?

Si tous va bien, on peut finaliser :


1/   

IMPORTANT   

Purger les points de restauration système:   

Télécharge OneClick2RestorePoint   

http://www.multifa7.be/Laddy/OneClick2RP.exe   

Mirroirs si non accessible :   
http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe   
https://app.box.com/s/cqcsz5m0oz   

* Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)   
* Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir   
* Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...   
* Rends toi dans l'onglet "Autres options"   
* Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.   
* Les points de restauration système seront purgés sauf le dernier créé.   


Ensuite avec le même outil   
Créer un nouveau point de restauration reconnaissable   

Aide ICI
2/   

Télécharge DelFix  sur  ton  bureau.    
* Lance le, tape suppression puis valide   

Patiente pendant le scan jusqu'à l'ouverture du rapport.   

* Copie/Colle le contenu du rapport dans ta prochaine réponse.   

Note : Le rapport se trouve également sous C:\DelFix.txt   

tu peux le desinstaller   


3/   
Mise à jour Java
* Tu peux vérifier ta Console Java  : 

Installer la nouvelle version si besoin (dans ce cas désinstalle avant l'ancienne version). 

voici pour desinstaller : 

JavaRa 

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. 
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
* Choisis Français puis clique sur Select. 
* Clique sur Recherche de mises à jour. 
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. 
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. 
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. 
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. 
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. 
* Ferme l'application. 

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. 
4/
Télécharge et installe :   

CCleaner version Slim   

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis   

Avancé et décoche la case Effacer uniquement les fichiers etc....   

* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.   

* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare   

toutes les erreurs tant de fois qu il en trouve a l analyse .   

**************** Aide ICI ******************   

Tu peux utiliser Ccleaner une fois par semaine   

5/   

Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour   

Fais la mise à jour surtout d'adobe reader 



6/   

Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.   

7/   

Je te conseille d'utiliser le navigateur Firefox et d'installer les modules   

complémentaires WOT pour t'indiquer les fichiers douteux et Adblock plus pour bloquer les publicités...  
 8/ 
Un peu de lecture : 
* Les dangers du Peer-To-Peer, Emule etc..  
* Comment Sécuriser son ordinateur... 


J'attend les rapports ...

tomafou · Answer

merci pour  cette reponse complete !

Voici le rapport DelFix :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijX4IKReW.txt

Et celui de JavaRa :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijCpRjEHw.txt

Utilisateur anonyme · Answer

Re,

De rien  :)

N'oublies pas de mettre à jour tes logiciels et surtout adobe reader...

Bon surf ... et pense à mettre ton sujet comme résolu

@+

tomafou · Answer

Bonsoir,

Merci pour votre aide qui m'a été précieuse!

Bonne continuation!

Infection virus/vers - Fenêtre intempestives

33 réponses

Discussions similaires