Help : pc infecté par win32/Cycbot.B [Résolu] [Résolu/Fermé]

Signaler
Messages postés
18
Date d'inscription
dimanche 3 juillet 2011
Statut
Membre
Dernière intervention
3 juillet 2011
-
Messages postés
18
Date d'inscription
dimanche 3 juillet 2011
Statut
Membre
Dernière intervention
3 juillet 2011
-
Bonjour,






je me permets de venir ici pour demander un peu d'aide , mon pc m'a laché en grande partie, beaucoup de programmes ne sont plus visibles ou dispo.

j'ai lancé un scan ZHPdiag comme demandé, voici le rapport

http://www.cijoint.fr/cjlink.php?file=cj201106/cijAvFW1z5.txt

autre lien https://www.cjoint.com/?AGdbYsdDR7X


quelqu'un pourrait m'aider svp ! :)

merci d'avance :)

30 réponses


Bonjour,

RogueKiller option 2 et 6 :
https://www.commentcamarche.net/faq/30719-utiliser-roguekiller

+ Malwarebytes' Anti-Malware :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Tu peux poster les rapports ici ;)
Messages postés
18
Date d'inscription
dimanche 3 juillet 2011
Statut
Membre
Dernière intervention
3 juillet 2011

merci de répondre si vite ! :D

je vais voir tout ca
Messages postés
18
Date d'inscription
dimanche 3 juillet 2011
Statut
Membre
Dernière intervention
3 juillet 2011

rapport option 2

RogueKiller V5.2.7 [30/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Pierre [Droits d'admin]
Mode: Suppression -- Date : 03/07/2011 03:04:07

Processus malicieux: 0

Entrees de registre: 12
[SUSP PATH] HKCU\[...]\Winlogon : Shell (explorer.exe,C:\Users\Pierre\AppData\Roaming\dwm.exe) -> DELETED
[SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\Pierre\AppData\Local\Temp\csrss.exe) -> DELETED
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:51838) -> NOT REMOVED, USE PROXYFIX
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Users\Pierre\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

Fichier HOSTS:


Termine : << RKreport[1].txt >>
RKreport[1].txt



rapport option 6 : mon bureau est revenu !!! :D

RogueKiller V5.2.7 [30/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Pierre [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 03/07/2011 03:07:40

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 2252 / Fail 0
Lancement rapide: Success 18 / Fail 0
Programmes: Success 247 / Fail 0
Menu demarrer: Success 37 / Fail 0
Dossier utilisateur: Success 9055 / Fail 0
Mes documents: Success 1917 / Fail 0
Mes favoris: Success 53 / Fail 0
Mes images: Success 3 / Fail 0
Ma musique: Success 310 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 3356 / Fail 0
Sauvegarde: [FOUND] Success 29 / Fail 0

Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt




scan malwarebytes en cours !

"[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:51838) -> NOT REMOVED, USE PROXYFIX"

Du coup, il faut utiliser l'option 4 de RogueKiller également.
Messages postés
18
Date d'inscription
dimanche 3 juillet 2011
Statut
Membre
Dernière intervention
3 juillet 2011

oki !

rapport option 4 :

RogueKiller V5.2.7 [30/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Pierre [Droits d'admin]
Mode: Proxy RAZ -- Date : 03/07/2011 03:15:42

Processus malicieux: 0

Entrees de registre: 1
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:51838) -> DELETED

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Ok.
Messages postés
18
Date d'inscription
dimanche 3 juillet 2011
Statut
Membre
Dernière intervention
3 juillet 2011

voila finalement le rapport de malwarebytes

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 7006

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

03/07/2011 03:58:09
mbam-log-2011-07-03 (03-58-09).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 323870
Temps écoulé: 1 heure(s), 0 minute(s), 13 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 13

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Pierre\AppData\Local\Temp\0.4050656797581331.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\Pierre\AppData\Local\Temp\0.7983973318164599.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\Pierre\AppData\Local\Temp\1AA1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Pierre\AppData\Local\Temp\adobe_flash_player.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Pierre\AppData\Local\Temp\javaw.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Pierre\AppData\LocalLow\Sun\Java\deployment\cache\6.0\57\19912a39-35296ae0 (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\Pierre\AppData\LocalLow\Sun\Java\deployment\cache\6.0\57\19912a39-5489c1e7 (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\Pierre\AppData\Roaming\Adobe\plugs\mmc26324700.txt (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Pierre\AppData\Roaming\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\Pierre\AppData\Roaming\Adobe\plugs\mmc114.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Pierre\AppData\Roaming\Adobe\plugs\mmc139.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Pierre\AppData\Roaming\Adobe\plugs\mmc26.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Pierre\AppData\Roaming\Adobe\plugs\mmc37.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

--> Relance Malwarebytes' Anti-Malware, va dans Quarantaine et supprime tout.

--> Poste un nouveau rapport ZHPDiag.

Le rapport est trop long pour être posté ici, utilise un hébergeur comme tu as fait au début.
Messages postés
18
Date d'inscription
dimanche 3 juillet 2011
Statut
Membre
Dernière intervention
3 juillet 2011

ah excusez moi

voila

http://www.cijoint.fr/cjlink.php?file=cj201107/cijcRhxP2S.txt

message précédent annulé :)

Je ne sais pas si PC Tools Security est vraiment utile.

Je ne suis pas tout à fait au point avec ZHPFix.

--> Désinstalle BS_Player Toolbar.

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


R3 - URLSearchHook: BS Player Toolbar [64Bits] - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 4, 2) -- C:\Program Files (x86)\BS_Player\tbBS_P.dll
O2 - BHO: BS Player Toolbar [64Bits] - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\BS_Player\tbBS
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (BS Player Customized Web Search) - http://search.conduit.com
[HKCU\Software\AppDataLow\Software\Conduit]
[HKCU\Software\AppDataLow\Toolbar]
[HKCU\Software\Conduit]
[HKLM\Software\Conduit]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[HKLM\Software\Wow6432Node\Conduit]
C:\Users\Pierre\AppData\Roaming\Adobe\plugs
C:\Users\Pierre\AppData\Roaming\Adobe\shed
C:\Program Files\Enigma Software Group\SpyHunter
O43 - CFD: 14/06/2010 - 17:21:24 - [1370] ----D- C:\ProgramData\Partner



--> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.

--> Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper).

--> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

--> Clique sur "OK", puis "Tous" et enfin "Nettoyer".

--> Copie-colle le rapport dans ton prochain message.

Le rapport est enregistré sur ton Bureau. Il s'appelle ZHPFixReport.
Messages postés
18
Date d'inscription
dimanche 3 juillet 2011
Statut
Membre
Dernière intervention
3 juillet 2011

Rapport de ZHPFix 1.12.3333 par Nicolas Coolman, Update du 02/07/2011
Fichier d'export Registre :
Run by Pierre at 03/07/2011 04:56:14
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ABSENT Key: CLSID BHO: {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5}
SUPPRIME Key: SearchScopes :{afdbddaa-5d3f-42ee-b79c-185a7020515b}
SUPPRIME Key: HKCU\Software\AppDataLow\Software\Conduit
SUPPRIME Key: HKCU\Software\AppDataLow\Toolbar
SUPPRIME Key: HKCU\Software\Conduit
ABSENT Key: HKLM\Software\Conduit
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
SUPPRIME Key: HKLM\Software\Wow6432Node\Conduit

========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5}

========== Dossier(s) ==========
SUPPRIME Folder: c:\users\pierre\appdata\roaming\adobe\plugs
SUPPRIME Folder: c:\users\pierre\appdata\roaming\adobe\shed
SUPPRIME Folder*: c:\program files\enigma software group\spyhunter
SUPPRIME Folder: C:\ProgramData\Partner

========== Fichier(s) ==========
SUPPRIME c:\program files (x86)\bs_player\tbbs_p.dll
ABSENT File: c:\program files (x86)\bs_player\tbbs


========== Récapitulatif ==========
10 : Clé(s) du Registre
1 : Valeur(s) du Registre
4 : Dossier(s)
2 : Fichier(s)


========== Chemin du fichier rapport ==========
C:\Program Files (x86)\ZHPDiag\ZHPFixReport.txt



End of the scan in 01mn 29s

Plus de souci ?
Messages postés
18
Date d'inscription
dimanche 3 juillet 2011
Statut
Membre
Dernière intervention
3 juillet 2011

aparemment plus :)

j'ai eu des pti soucis avec mozilla (même quand je lancais le dernier ZHP diag) ca me marquait "pas de réponse" et deux fenêtres, dont celle-ci ne voulaient plus se fermer, plantant le PC.

j'ai du forcer son arrêt manuellement et redémarrer normalement pour me reco ici

Ça te l'avait déjà fait ?

Tu as quelle version de Firefox ?
Messages postés
18
Date d'inscription
dimanche 3 juillet 2011
Statut
Membre
Dernière intervention
3 juillet 2011

oui quelques fois ces deux dernières semaines, je devais forcer l'arret de l'ordi pour sortir du plantage

Firefox/3.6.18
Messages postés
18
Date d'inscription
dimanche 3 juillet 2011
Statut
Membre
Dernière intervention
3 juillet 2011

si je met mise a jour ca me propose la version 5.0, je prends ?

J'ai pas de souci avec la version 5.

Si le nouvel affichage avec le bouton Firefox en orange ne te plaît pas, sache qu'il suffit juste de réafficher la barre de menus.
Messages postés
18
Date d'inscription
dimanche 3 juillet 2011
Statut
Membre
Dernière intervention
3 juillet 2011

oki tres bien :)

encore merci beaucoup pour l'aide apportée !!

vraiment sympa et efficace :D

Pour finir :


1/

---> Télécharge DelFix sur ton Bureau.
* Clique droit sur DelFix et choisis Exécuter en tant qu'administrateur.
* Clique sur le bouton Suppression.
* Poste le rapport (C:\DelFixSuppr.txt).
* Supprime DelFix.


2/

---> Télécharge et installe CCleaner.
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


3/

---> Il est nécessaire de supprimer les points de restauration.


==Prévention==

Voici un dossier sur la prévention et sécurité sur Internet (A lire avec Adobe Reader ou Foxit Reader) : Lien


;)