cheval de troie generic22.azmt

Question

Bonjour, j'ai un système d'exploitation xp pro,j'ai recemment été infecté par un cheval de troie generic22 azmt,qui a planté les boitiers cpl d-link,voici le rapport de malwarebytes,merci d'avance.


Version de la base de données: 6845

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13/06/2011 08:54:28
mbam-log-2011-06-13 (08-54-10).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 160843
Temps écoulé: 18 minute(s), 20 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

maxou45 · Answer

Bonjour
Tu es effectivement infecté, mais peut etre aussi par d'autres infections que mbam ne detecte pas

Utilise ce logiciel de diagnostic :

* Télécharge  https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html (de Nicolas Coolman)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr  , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

zoux36 · Answer

voici;
C:\Documents and Settings\florine\Bureau\ZHPDiag rapport

maxou45 · Answer

Impossible de voir ce rapport, il est situe sur ton DD
il faut que tu le deposes sur http://www.cijoint.fr puis tu me colles le lien que ca te donne

zoux36 · Answer

j'ai essayé ça marche pas je comprends pas

maxou45 · Answer

tu selectionnes le fichier que tu veux deposer
et ensuite tu clic sur deposer le fichier

zoux36 · Answer

j'ai fais"parcourir"j'ai sélectionné la copie du fichier sur le bureau,en suite j'ai cliqué sur "déposer" et ça me répond"le fichier avec les extensions ne peut être déposé"

maxou45 · Answer

quel fichier as tu voulu deposer ?
c'est de ZHPDiag.txt qu'il s'agit, pas d'un autre, et je viens de re-tester cijoint.fr marche avec ce fichier
sinon, copie/colle le contenu ici (dans 2 reponses)

zoux36 · Answer

ça y est je crois avoir réussi^^
http://www.cijoint.fr/cjlink.php?file=cj201106/cij4JRxU7k.txt

maxou45 · Answer

Tu as pas mal d'infections

Nous allons utiliser AD-Remover pour supprimer les " toolbar" infectieuses

Ad-Remover est un outil spécifique conçu par C_XX , son rôle est la suppression d'adwares comme Eorezo, MyWebSearch, Navipromo, Winsudate, Search Settings, installpédia, ask etc...  

Télécharger AD_Remover de C_XX sur http://www.teamxscript.org/adremoverTelechargement.html

Tu es sous XP , Double clic sur AD-R.exe sur le bureau 

L'installation se fait automatiquement . 

Accepte l'avertissement qui suit. 

Clic sur Scanne 

Patiente le temps de la recherche 

Poste le rapport qui apparait à la fin .(Il est sauvegardé aussi sous C:\Ad-report.log) 

Clic sur Quitter 

Ne lance pas le nettoyage tant que je ne te l'ai pas dit
________________________
Formation Qualification Helper

zoux36 · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 16:50:27 le 16/06/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
florine@FLORINE-C4BC039 ( ) 
 
============== RECHERCHE ==============


Fichier trouvé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navigateur OfferBox.lnk
Dossier trouvé: C:\Documents and Settings\florine\Application Data\FissaSearch
Dossier trouvé: C:\Documents and Settings\florine\Application Data\OfferBox
Dossier trouvé: C:\Program Files\OfferBox

Clé trouvée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}
Clé trouvée: HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé trouvée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé trouvée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
Clé trouvée: HKLM\Software\Classes\OfferBox.OfferBoxServer
Clé trouvée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1
Clé trouvée: HKLM\Software\FissaSearch
Clé trouvée: HKLM\Software\OfferBox
Clé trouvée: HKCU\Software\FissaSearch
Clé trouvée: HKCU\Software\OfferBox
Clé trouvée: HKCU\Software\Spointer
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{b41306c6-96d0-442a-bcc4-b0f621e82ce9}
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{4BD271AB-66E2-4D58-AF88-80FE3B0770C4}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox Browser
Clé trouvée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Valeur trouvée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com


============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Search bar - hxxp://recherche.neuf.fr/ie/default.html
HKCU_Main|Search Page - hxxp://recherche.neuf.fr/
HKCU_Main|Start Page - hxxp://home.neuf.fr/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://recherche.neuf.fr/
HKLM_Main|Search bar - hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_SearchScopes\{b41306c6-96d0-442a-bcc4-b0f621e82ce9} - "Fissa" (hxxp://www.fissa.com/fr/results/?s=b&c=11013111694&suid=Emyd0ahNO&d=6&pid=28&q={...)
HKLM_ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB} - C:\Program Files\OfferBox\OfferBox.exe (Secure Digital Services Limited)
HKLM_ElevationPolicy\{C5AA1041-AC10-446e-BAA4-E3F536022DD9} - C:\Program Files\Fichiers communs\Iconix\Launcher.exe (?)
HKLM_Extensions\{400A6CFA-E326-4d61-A90C-9AD75358DC5F} - "?" (?)
HKLM_Extensions\{BC3F6B6D-2E49-4603-B028-7411655713F3} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{761233B6-F228-49E4-8F6B-668499D4E55A} - "IconixBHOClass Class" (C:\Program Files\Iconix\IEAddOn\IconixBHO_46.dll)
BHO\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - "OfferBox" (C:\Program Files\OfferBox\OfferBoxBHO.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 16/06/2011 16:50:56 (3844 Octet(s)) 

Fin à: 16:51:38, 16/06/2011 
 
============== E.O.F ==============

maxou45 · Answer

--Relance Ad-remover.exe, par un double-clique sur l'icône Ad-remover située sur ton Bureau.
Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

Sur la page, clique sur le bouton «Nettoyer»

Laisse travailler l'outil

A la fin du scan, il est possible que AD-Remover te demande de redémarrer ton PC, clique sur le bouton Oui. Si ton PC ne redémarre pas, fais le toi même.

Le rapport est situé C:\Ad-reportClean[X].Txt où X est un numéro.

Ouvre-le

Sélectionne le contenu

Puis copie le tout avec les touches clavier : ctrl+c

Poste ton résultat dans ta prochaine réponse en utilisant les touches clavier : ctrl+v (coller)

________________________
Formation Qualification Helper

zoux36 · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [2]) -> Lancé à 20:58:13 le 16/06/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
florine@FLORINE-C4BC039 ( ) 
 
============== RECHERCHE ==============





============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_ElevationPolicy\{C5AA1041-AC10-446e-BAA4-E3F536022DD9} - C:\Program Files\Fichiers communs\Iconix\Launcher.exe (?)
HKLM_Extensions\{400A6CFA-E326-4d61-A90C-9AD75358DC5F} - "?" (?)
HKLM_Extensions\{BC3F6B6D-2E49-4603-B028-7411655713F3} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{761233B6-F228-49E4-8F6B-668499D4E55A} - "IconixBHOClass Class" (C:\Program Files\Iconix\IEAddOn\IconixBHO_46.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 24 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 16/06/2011 20:39:11 (4039 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 16/06/2011 16:50:56 (4134 Octet(s)) 
C:\Ad-Report-SCAN[2].txt - 16/06/2011 20:58:24 (549 Octet(s)) 

Fin à: 20:58:53, 16/06/2011 
 
============== E.O.F ==============

maxou45 · Answer

AD remover a fait du bon boulot

Nous allons utiliser un outil plus generaliste pour supprimer le trojan  (MBAM)   

* Télécharge et installe https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/    
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée     
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)     
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"     
* A la fin de l'analyse, clique sur "Afficher les résultats"     
* Coche tous les éléments  détectés puis clique sur "Supprimer la sélection"     
* Enregistre le rapport     
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes     
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.     

https://www.androidworld.fr/ (Tutoriel pour t'aider).     

Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.      

REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.

zoux36 · Answer

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6876

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17/06/2011 15:49:13
mbam-log-2011-06-17 (15-49-13).txt

Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 218993
Temps écoulé: 54 minute(s), 18 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

maxou45 · Answer

OK, refait un zhpdiag stp

zoux36 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201106/cijzW0cLEt.txt

maxou45 · Answer

Ce n'est pas le bon rapport
je te remets la procedure


* Télécharge  https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html (de Nicolas Coolman)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr  , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

zoux36 · Answer

ouups^^ pardon,je crois que cette fois c'est la bonne

http://www.cijoint.fr/cjlink.php?file=cj201106/cijbcgAAa7.txt

maxou45 · Answer

Il reste quelques traces que nous allons eliminer grace a zhp fix

Utilisation de  ZHPFIX 

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 



Sysrestore
EmptyTemp
ProxyFix
[HKCU\Software\WideStream]   
O43 - CFD: 31/01/2011 - 19:11:48 - [604] ----D- C:\Documents and Settings\florine\Application Data\widestream   
O43 - CFD: 31/01/2011 - 19:11:22 - [165041] ----D- C:\Documents and Settings\florine\Local Settings\Application Data\widestream6 Air    
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]   
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]    
[HKCU\Software\WideStream] 
C:\Documents and Settings\florine\Application Data\Widestream   
C:\Documents and Settings\florine\Local Settings\Application Data\widestream6 Air   

OPT:O4 - HKLM\..\Run: [nwiz] . (...) -- C:\Windows\System32
wiz.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-2052111302-926492609-725345543-1003\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - Global Startup: C:\Documents And Settings\florine\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.2.lnk . (...)  -- C:\Program Files\OpenOffice.org 3\program\quickstart.exe
[HKLM\Software\BrowserChoice]

[HKLM\Software\Classes\CLSID\{ea551c00-2ae5-11d3-8592-00a0c98e9ea4}]    

O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\vgasave.sys . (...) -- (.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.) 
O49 - CSB:Control Safe Boot HKLM\...\CS1\Network\vgasave.sys . (...) -- (.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)  
O49 - CSB:Control Safe Boot HKLM\...\CS3\Network\vgasave.sys . (...) -- (.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)(.not file.)   
O52 - TDSD: \drivers.desc\"wdmaud.drv"="Gamesurround Muse 5.1 DVD" . (...) -- (.not file.)   
O64 - Services: CurCS - C:\WINDOWS\System32\drivers\WPRO_40_755.sys (.not file.) - WinPcap Packet Driver (WPRO_40_755) (WPRO_40_755)  .(...) - LEGACY_WPRO_40_755  




* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)

* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »).
 Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 

* Clique sur le bouton « GO » pour lancer le nettoyage

Il va t'etre demandé de redémarrer l'ordinateur, refuse sinon le script va  être interrompu

zoux36 · Answer

j'ai un message d'erreur ; violation d'accès à l'adresse 00427c8a dans le module zhpfix.exe lecture de l'adresse 00000008

ensuite le programme reste figé aec un sablier et des données cochées

maxou45 · Answer

Re-essaie avec ce script simplifié


* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )  




[HKCU\Software\WideStream]    
O43 - CFD: 31/01/2011 - 19:11:48 - [604] ----D- C:\Documents and Settings\florine\Application Data\widestream    
O43 - CFD: 31/01/2011 - 19:11:22 - [165041] ----D- C:\Documents and Settings\florine\Local Settings\Application Data\widestream6 Air     
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]    
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]     
[HKCU\Software\WideStream]  
C:\Documents and Settings\florine\Application Data\Widestream    
C:\Documents and Settings\florine\Local Settings\Application Data\widestream6 Air    



* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur) 

* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). 
 Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes  

* Clique sur le bouton « GO » pour lancer le nettoyage 

Il va t'etre demandé de redémarrer l'ordinateur, refuse sinon le script va  être interrompu

zoux36 · Answer

c'est fait,ça a marché....et maintenant??

maxou45 · Answer

Refait un dernier zhpdiag stp

zoux36 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201106/cij2Uab66H.txt

maxou45 · Answer

La désinfection est maintenant terminée, merci de l'avoir suivie jusqu'au bout 
Nous allons maintenant terminer la procédure avec la mise à jour de ton PC, la suppression des outils que nous avons utilisés, un peu d'optimisation et plusieurs liens utiles. 
Nous avons utilisé Malwarebytes' Anti-Malware, tu peux le garder et passer un scan complet une fois par semaine en prenant soin de bien le mettre à jour avant de lancer le scan. 


 Mise a jour de ton système
Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant
* Ta version de Java n'est pas à jour
  Clique sur ce lien :  https://www.java.com/fr/download/uninstalltool.jsp
  Clique sur le bouton rouge Vérifier la version de Java
  Patiente quelques instants durant la détection
  Un message indiquera qu'il existe une nouvelle version de Java et proposera le téléchargement
   Télécharge cette nouvelle version


Optimisation du PC avec CCLEANER
* Suppression des fichiers inutiles
  Télécharge https://www.clubic.com/telecharger-fiche14492-ccleaner.html
 Installe le, puis lance le. 
  Va dans l'onglet "Options" puis " Avancé "
  Décoche " Effacer uniquement les fichiers[...] ". 
  Cliques sur l'onglet  " Nettoyeur " 
  Cliques sur Analyser . 
  A la fin de l'analyse, clique sur Nettoyer
  Rends toi à l'onglet " Registre " puis cliques sur Chercher les erreurs]
  Cliques ensuite sur Corriger les erreurs séléctionnées. 
  Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression ) 
 Cliques ensuite sur Corriger toutes les erreurs sélectionnées puis sur Fermer
 Redémarre ton PC.


Supprimer les points de restauration antérieurs à la désinfection : OneClick2RestorePoint 
Télécharge http://www.multifa7.be/Laddy/OneClick2RP.exe de Laddy sur ton Bureau
Conserve-le tout au long de la désinfection et de l'optimisation.
Double clic dessus pour l'exécuter (Sous Vista/Seven, fais un clic droit et choisir Exécuter en tant qu'administrateur)
Entre la description suivante : apres desinfection
Clic sur le bouton Créer, puis sur le bouton OK.
Clic sur le bouton quitter pour fermer l'application

Purger les points de restauration système
Relance OneClick2RP
Clic sur le bouton "Purger",
l'outil de nettoyage de windows va s'ouvrir
Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
Rends toi dans l'onglet "Autres options"


Dans la zone restauration système, clic sur le bouton nettoyer 
puis sur le bouton Supprimer.
Les points de restauration système seront purgés sauf le dernier créé.


Suppression des outils utilisés pour la désinfection
lance  ZHPFix en double cliquant sur l'icone située sur ton bureau  
Important: Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Dans la fenêtre de ZHPFix, cliquer sur le "A" rouge
Cliquer sur "Nettoyer"


Fermer toutes les fenêtres


Redémarrer le PC



Liens utiles 
 Ces liens sont en rapport direct avec la sécurité de ton PC: Prends le temps de les lire pour comprendre pourquoi tu as été infecté. 
https://forum.malekal.com/viewtopic.php?t=3208&start=
https://forum.malekal.com/viewtopic.php?t=15761&start= 
https://www.malekal.com/proteger-pc-virus-pirates/
https://forum.malekal.com/viewtopic.php?t=12405&start=
https://forum.malekal.com/viewtopic.php?t=6173&start=

zoux36 · Answer

un grand merci à toi,je te tiens au courant dès que j'ai fini tout cela,je te dirai si ça a marché ou pas car pour l'heure j'ai re essayé les boitiers et ça marche toujours pas,on verra après tout ça,si ça marche toujours pas,je me verrai dans l'obligation de formater

zoux36 · Answer

malgré tout ça,j'ai toujours le même problème,l'utilitaire de mes boitiers cpl ne demarre pas,j'ai une erreur avec macdiscover + une autre qui me dis qu'il ne detecte pas mes boitiers,ça n'a rien résolu,je ne vois donc plus qu'une solution....le formatage,merci quand même.

maxou45 · Answer

Reinstalle cet utilitaire

zoux36 · Answer

déja fait et comme ça marchait toujours pas j'ai introduit mon cd windows et réparé mon système,et la ça a marché^^donc problème résolu

Cheval de troie generic22.azmt

29 réponses

Votre réponse

Discussions similaires

Newsletters