Help : pc infecté par win32/Cycbot.B [Résolu]

Résolu
lucky buck Messages postés 19 Statut Membre -  
lucky buck Messages postés 19 Statut Membre -
Bonjour,



je me permets de venir ici pour demander un peu d'aide , mon pc m'a laché en grande partie, beaucoup de programmes ne sont plus visibles ou dispo.

j'ai lancé un scan ZHPdiag comme demandé, voici le rapport

http://www.cijoint.fr/cjlink.php?file=cj201106/cijAvFW1z5.txt

autre lien https://www.cjoint.com/?AGdbYsdDR7X

quelqu'un pourrait m'aider svp ! :)

merci d'avance :)

30 réponses

  • 1
  • 2
  1. lucky buck Messages postés 19 Statut Membre
     
    merci de répondre si vite ! :D

    je vais voir tout ca
    0
  2. lucky buck Messages postés 19 Statut Membre
     
    rapport option 2

    RogueKiller V5.2.7 [30/06/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: Pierre [Droits d'admin]
    Mode: Suppression -- Date : 03/07/2011 03:04:07

    Processus malicieux: 0

    Entrees de registre: 12
    [SUSP PATH] HKCU\[...]\Winlogon : Shell (explorer.exe,C:\Users\Pierre\AppData\Roaming\dwm.exe) -> DELETED
    [SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\Pierre\AppData\Local\Temp\csrss.exe) -> DELETED
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:51838) -> NOT REMOVED, USE PROXYFIX
    [WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Users\Pierre\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg)
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

    Fichier HOSTS:

    Termine : << RKreport[1].txt >>
    RKreport[1].txt

    rapport option 6 : mon bureau est revenu !!! :D

    RogueKiller V5.2.7 [30/06/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: Pierre [Droits d'admin]
    Mode: Raccourcis RAZ -- Date : 03/07/2011 03:07:40

    Processus malicieux: 0

    Attributs de fichiers restaures:
    Bureau: Success 2252 / Fail 0
    Lancement rapide: Success 18 / Fail 0
    Programmes: Success 247 / Fail 0
    Menu demarrer: Success 37 / Fail 0
    Dossier utilisateur: Success 9055 / Fail 0
    Mes documents: Success 1917 / Fail 0
    Mes favoris: Success 53 / Fail 0
    Mes images: Success 3 / Fail 0
    Ma musique: Success 310 / Fail 0
    Mes videos: Success 0 / Fail 0
    Disques locaux: Success 3356 / Fail 0
    Sauvegarde: [FOUND] Success 29 / Fail 0

    Lecteurs:
    [C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
    [D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
    [E:] \Device\CdRom0 -- 0x5 --> Skipped

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt

    scan malwarebytes en cours !
    0
  3. Utilisateur anonyme
     
    "[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:51838) -> NOT REMOVED, USE PROXYFIX"

    Du coup, il faut utiliser l'option 4 de RogueKiller également.
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. lucky buck Messages postés 19 Statut Membre
     
    oki !

    rapport option 4 :

    RogueKiller V5.2.7 [30/06/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur: Pierre [Droits d'admin]
    Mode: Proxy RAZ -- Date : 03/07/2011 03:15:42

    Processus malicieux: 0

    Entrees de registre: 1
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:51838) -> DELETED

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
    0
  6. lucky buck Messages postés 19 Statut Membre
     
    voila finalement le rapport de malwarebytes

    Malwarebytes' Anti-Malware 1.51.0.1200
    www.malwarebytes.org

    Version de la base de données: 7006

    Windows 6.1.7601 Service Pack 1
    Internet Explorer 8.0.7601.17514

    03/07/2011 03:58:09
    mbam-log-2011-07-03 (03-58-09).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 323870
    Temps écoulé: 1 heure(s), 0 minute(s), 13 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 13

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Users\Pierre\AppData\Local\Temp\0.4050656797581331.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\Users\Pierre\AppData\Local\Temp\0.7983973318164599.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\Users\Pierre\AppData\Local\Temp\1AA1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\Users\Pierre\AppData\Local\Temp\adobe_flash_player.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Users\Pierre\AppData\Local\Temp\javaw.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Users\Pierre\AppData\LocalLow\Sun\Java\deployment\cache\6.0\57\19912a39-35296ae0 (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\Users\Pierre\AppData\LocalLow\Sun\Java\deployment\cache\6.0\57\19912a39-5489c1e7 (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\Users\Pierre\AppData\Roaming\Adobe\plugs\mmc26324700.txt (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\Users\Pierre\AppData\Roaming\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully.
    c:\Users\Pierre\AppData\Roaming\Adobe\plugs\mmc114.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    c:\Users\Pierre\AppData\Roaming\Adobe\plugs\mmc139.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    c:\Users\Pierre\AppData\Roaming\Adobe\plugs\mmc26.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    c:\Users\Pierre\AppData\Roaming\Adobe\plugs\mmc37.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    0
  7. Utilisateur anonyme
     
    --> Relance Malwarebytes' Anti-Malware, va dans Quarantaine et supprime tout.

    --> Poste un nouveau rapport ZHPDiag.
    0
  8. Utilisateur anonyme
     
    Le rapport est trop long pour être posté ici, utilise un hébergeur comme tu as fait au début.
    0
  9. lucky buck Messages postés 19 Statut Membre
     
    ah excusez moi

    voila

    http://www.cijoint.fr/cjlink.php?file=cj201107/cijcRhxP2S.txt

    message précédent annulé :)
    0
  10. Utilisateur anonyme
     
    Je ne sais pas si PC Tools Security est vraiment utile.

    Je ne suis pas tout à fait au point avec ZHPFix.

    --> Désinstalle BS_Player Toolbar.

    --> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").

    R3 - URLSearchHook: BS Player Toolbar [64Bits] - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} . (.Conduit Ltd. - Conduit Toolbar.) (5, 3, 4, 2) -- C:\Program Files (x86)\BS_Player\tbBS_P.dll
    O2 - BHO: BS Player Toolbar [64Bits] - {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\BS_Player\tbBS
    O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (BS Player Customized Web Search) - http://search.conduit.com
    [HKCU\Software\AppDataLow\Software\Conduit]
    [HKCU\Software\AppDataLow\Toolbar]
    [HKCU\Software\Conduit]
    [HKLM\Software\Conduit]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
    [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
    [HKLM\Software\Wow6432Node\Conduit]
    C:\Users\Pierre\AppData\Roaming\Adobe\plugs
    C:\Users\Pierre\AppData\Roaming\Adobe\shed
    C:\Program Files\Enigma Software Group\SpyHunter
    O43 - CFD: 14/06/2010 - 17:21:24 - [1370] ----D- C:\ProgramData\Partner


    --> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.

    --> Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper).

    --> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    --> Clique sur "OK", puis "Tous" et enfin "Nettoyer".

    --> Copie-colle le rapport dans ton prochain message.

    Le rapport est enregistré sur ton Bureau. Il s'appelle ZHPFixReport.
    0
  11. lucky buck Messages postés 19 Statut Membre
     
    Rapport de ZHPFix 1.12.3333 par Nicolas Coolman, Update du 02/07/2011
    Fichier d'export Registre :
    Run by Pierre at 03/07/2011 04:56:14
    Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Clé(s) du Registre ==========
    ABSENT Key: CLSID BHO: {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5}
    SUPPRIME Key: SearchScopes :{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    SUPPRIME Key: HKCU\Software\AppDataLow\Software\Conduit
    SUPPRIME Key: HKCU\Software\AppDataLow\Toolbar
    SUPPRIME Key: HKCU\Software\Conduit
    ABSENT Key: HKLM\Software\Conduit
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
    ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    SUPPRIME Key: HKLM\Software\Wow6432Node\Conduit

    ========== Valeur(s) du Registre ==========
    SUPPRIME URLSearchHook: {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5}

    ========== Dossier(s) ==========
    SUPPRIME Folder: c:\users\pierre\appdata\roaming\adobe\plugs
    SUPPRIME Folder: c:\users\pierre\appdata\roaming\adobe\shed
    SUPPRIME Folder*: c:\program files\enigma software group\spyhunter
    SUPPRIME Folder: C:\ProgramData\Partner

    ========== Fichier(s) ==========
    SUPPRIME c:\program files (x86)\bs_player\tbbs_p.dll
    ABSENT File: c:\program files (x86)\bs_player\tbbs

    ========== Récapitulatif ==========
    10 : Clé(s) du Registre
    1 : Valeur(s) du Registre
    4 : Dossier(s)
    2 : Fichier(s)

    ========== Chemin du fichier rapport ==========
    C:\Program Files (x86)\ZHPDiag\ZHPFixReport.txt

    End of the scan in 01mn 29s
    0
  12. lucky buck Messages postés 19 Statut Membre
     
    aparemment plus :)

    j'ai eu des pti soucis avec mozilla (même quand je lancais le dernier ZHP diag) ca me marquait "pas de réponse" et deux fenêtres, dont celle-ci ne voulaient plus se fermer, plantant le PC.

    j'ai du forcer son arrêt manuellement et redémarrer normalement pour me reco ici
    0
  13. Utilisateur anonyme
     
    Ça te l'avait déjà fait ?

    Tu as quelle version de Firefox ?
    0
  14. lucky buck Messages postés 19 Statut Membre
     
    oui quelques fois ces deux dernières semaines, je devais forcer l'arret de l'ordi pour sortir du plantage

    Firefox/3.6.18
    0
  15. lucky buck Messages postés 19 Statut Membre
     
    si je met mise a jour ca me propose la version 5.0, je prends ?
    0
  16. Utilisateur anonyme
     
    J'ai pas de souci avec la version 5.

    Si le nouvel affichage avec le bouton Firefox en orange ne te plaît pas, sache qu'il suffit juste de réafficher la barre de menus.
    0
  17. lucky buck Messages postés 19 Statut Membre
     
    oki tres bien :)

    encore merci beaucoup pour l'aide apportée !!

    vraiment sympa et efficace :D
    0
  18. Utilisateur anonyme
     
    Pour finir :

    1/

    ---> Télécharge DelFix sur ton Bureau.
    * Clique droit sur DelFix et choisis Exécuter en tant qu'administrateur.
    * Clique sur le bouton Suppression.
    * Poste le rapport (C:\DelFixSuppr.txt).
    * Supprime DelFix.

    2/

    ---> Télécharge et installe CCleaner.
    * Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
    * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.

    3/

    ---> Il est nécessaire de supprimer les points de restauration.

    ==Prévention==

    Voici un dossier sur la prévention et sécurité sur Internet (A lire avec Adobe Reader ou Foxit Reader) : Lien

    ;)
    0
  • 1
  • 2