Sujet Précédent Sujet Suivant

Probleme virus

Résolu/Fermé
marmout - 8 juil. 2011 à 22:41
Marmo2000 Messages postés 8 Date d'inscription samedi 9 juillet 2011 Statut Membre Dernière intervention 10 juillet 2011 - 10 juil. 2011 à 18:44
bonjour voila que je suis infecté par deux virus :

win32:hosts-j
renos-axw
renos-axy
renos-axr

j'ai vraiment du mal a trouver comment m'en debarasser.

pouvez vous m'aider?

merci davance.
A voir également:

21 réponses

  • 1
  • 2
Réponse 1 / 21
marmout
8 juil. 2011 à 22:42
je poste un rapport Hijackthis qui pourra sans doute etre utile :




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:39:29, on 08/07/2011
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files\Ask.com\Updater\Updater.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\VMware\VMware Workstation\vmware-tray.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Billeo\billeo.exe
C:\Program Files\D-Link\DWA-547 revA\wirelesscm.exe
C:\Users\Mamat\Downloads\HiJackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.cherche.us/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cherche.us/keyword/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.cherche.us
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cherche.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.cherche.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.cherche.us
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cherche.us
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.cherche.us
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.cherche.us
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: PriceGong - {1631550F-191D-4826-B069-D9439253D926} - C:\Program Files\PriceGong\2.1.0\PriceGongIE.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Billeo - {465E08E7-F005-4389-980F-1D8764B3486C} - c:\program files\billeo\billeo.dll
O2 - BHO: IE BHO Utility - {5AB7104A-B71F-49AD-9154-F7F8806AE848} - C:\Program Files\Surf Canyon\surfcanyon.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Billeo - {6ADB0F93-1AA5-4BCF-9DF4-CEA689A3C111} - c:\program files\billeo\billeo.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [NBAgent] "C:\Program Files\Nero\Nero 10\Nero BackItUp\NBAgent.exe" /WinStart
O4 - HKLM\..\Run: [ApnUpdater] "C:\Program Files\Ask.com\Updater\Updater.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [vmware-tray] "C:\Program Files\VMware\VMware Workstation\vmware-tray.exe"
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [Fxowetunu] rundll32.exe "C:\Users\Mamat\AppData\Local\gogSnh.dll",Startup
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Global Startup: Billeo.lnk = C:\Program Files\Billeo\billeo.exe
O4 - Global Startup: Wireless Connection Manager.lnk = ?
O8 - Extra context menu item: Liens de téléchargement avec Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
O8 - Extra context menu item: Recherche avec cherche.us - C:\Users\Mamat\scriptjava.html
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Billeo - {97ED3A9F-CD6F-473A-8FE1-7505C1B844C3} - c:\program files\billeo\billeo.dll (HKCU)
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dll
O13 - Gopher Prefix:
O15 - Trusted Zone: *.chat-land.org
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Service Google Update (gupdate1cad4fd64152d49) (gupdate1cad4fd64152d49) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: JumpStart Wi-Fi Protected Setup (jswpsapi) - Atheros Communications, Inc. - C:\Program Files\D-Link\DWA-547 revA\jswpsapi.exe
O23 - Service: @C:\Program Files\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files\Nero\Update\NASvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe
O23 - Service: VMware USB Arbitration Service (VMUSBArbService) - VMware, Inc. - C:\Program Files\Common Files\VMware\USB\vmware-usbarbitrator.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe
0
Réponse 2 / 21
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
8 juil. 2011 à 22:45
Salut


--< Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

--< Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

--< Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
--< Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
--< Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum http://www.cijoint.fr/


A+
0
Réponse 3 / 21
marmout
8 juil. 2011 à 22:52
voici le lien :)

http://www.cijoint.fr/cjlink.php?file=cj201107/cijqhpn7sW.txt


merci !
0
Réponse 4 / 21
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
Modifié par NicoVA le 8/07/2011 à 23:15
Alors tout d'abord j'hésite entre poubelle et décharge pour caractériser l'état de ton pc.

Ne le prends pas mal c'est pour rigoler :=)

Tu a énormément d'infection ! J'ai jamais vu sa, sa passe par les adwares, le rootkit, les trojans à gogo, faut vraiment être plus prudent ! sinon tu reviendras dans très peu de temps.

Tout d'abord :

1/

--> Télécharger ceci : FakeAlertRemover de NicoVA

--> Lance le et suis les indications à l'écran

--> A la fin un rapport va s'ouvrir, copie et colle sont contenu dans ta prochaine réponse

2/

--> Télécharge de AD-Remover sur ton Bureau.
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Ferme toutes applications en cours /!\

--> Double-clique sur l'icône Ad-remover située sur ton Bureau.

--> Sur la page, clique sur le bouton "recherche"

--> Confirme lancement du scan

--> Laisse travailler l'outil.

--> Poste le rapport qui apparaît à la fin.

3/

--> Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.

https://support.kaspersky.com/downloads/utils/tdsskiller.exe

--> Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")

--> Clique sur Start Scan pour démarrer l'analyse.

--> Si des éléments néfastes sont identifiés par l'outil, vérifie que Cure est bien coché. S'il indique "suspicious", laisse l'option Skip.

--> Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.

--> Un rapport s'ouvrira au redémarrage de l'ordinateur.

--> Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt


A+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 21
foo
8 juil. 2011 à 23:32
Merci pour ta reponse tres rapide , et je ferai gaffe à l'avenir :)

FARemover version 1.1 - Nico
Framework version : 2.0.50727.4927
Système d'exploitation : Windows 7 Ultimate ¤ ¤ 32bits
Utilisateur : Mamat

¤¤¤ [ Processus malveillant en cours d'exécution ] ¤¤¤

[STOP] rundll32
[STOP] rundll32
¤¤¤[ Valeur(s) du registre ]¤¤¤

Aucune valeur(s) présente(s)

¤¤¤ [ Clé(s) du registre ] ¤¤¤

[DEL] HKCU\Software\SQ4DY0FH7F

[DEL] HKCU\Software\NtWqIVLZEWZU

[DEL] HKCU\Software\5EZBYSHFNV

[DEL] HKLM\[...]\startupreg\SQ4DY0FH7F

[DEL] HKLM\[...]\startupreg\NtWqIVLZEWZU

¤¤¤ [ Fichier(s) ] ¤¤¤

Aucun fichier(s) trouvé(s)

¤¤¤ [ Dossier(s) ] ¤¤¤

Aucun dossier(s) trouvé(s) !
0
Réponse 6 / 21
foo
8 juil. 2011 à 23:37
oups je sais pas pourquoi mon pseudo a changé et jarrive plus a le changer -_-

soit , c est moi marmout :)


je poste un lien pour chaqun des deux autre rapports car je n'arrive pas a les poster ...

http://www.cijoint.fr/cjlink.php?file=cj201107/cijPfmved9.txt


http://www.cijoint.fr/cjlink.php?file=cj201107/cijYWI8EW3.txt



Merci :)
0
Réponse 7 / 21
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
8 juil. 2011 à 23:50
Salut !

1/

--> Relance Ad-Remover et clique sur suppression

2/

--> Refait un ZHPdiag ;-)

==

Je te conseille de t'inscrire sur le site, c'est simple, rapide ,gratuit et sa prends 2min. De plus tu pourras suivre notre discussion plus facilement.

Bonne soirée
0
Réponse 8 / 21
Marmo2000 Messages postés 8 Date d'inscription samedi 9 juillet 2011 Statut Membre Dernière intervention 10 juillet 2011
9 juil. 2011 à 00:07
voila je me suis incrit :)


ci -joint le rapport de ZHPdiag

http://www.cijoint.fr/cjlink.php?file=cj201107/cijebeplDE.txt


Bonne soiree !

: )
0
Réponse 9 / 21
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
Modifié par NicoVA le 9/07/2011 à 19:18
Salut !

--> Lance ZHPfix en tant qu'administrateur (clic droit -> exécuter en tant qu'administrateur )

--> Ouvre ce lien : http://sd-2.archive-host.com/membres/up/174761209440524377/script.txt

--> Copie le contenu de la page

--> Clique sur le "H" dans ZHPfix ("coller les lignes Helper")

--> Clique sur GO

--> Un rapport va s'ouvrir, copie et colle le dans ta prochaine réponse

A+
0
Réponse 10 / 21
Marmo2000 Messages postés 8 Date d'inscription samedi 9 juillet 2011 Statut Membre Dernière intervention 10 juillet 2011
9 juil. 2011 à 21:07
Rapport de ZHPFix 1.12.3337 par Nicolas Coolman, Update du 08/07/2011
Fichier d'export Registre :
Run by Mamat at 09/07/2011 21:06:21
Windows 7 Ultimate Edition, 32-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
ABSENT Software Key: Antimalware Doctor

========== Clé(s) du Registre ==========
ABSENT Trusted Zone: chat-land.org
ABSENT Key: Service: gpsvc
ABSENT Key: HKCU\Software\Antimalware Doctor Inc
ABSENT Key: StartupReg: Fxowetunu
ABSENT Key: StartupReg: tplsub700jk.exe
ABSENT Key: HKCU\Software\Context\Context-Ads
ABSENT Key: HKLM\Software\Context\Context-Ads
ABSENT Key: HKLM\Software\Classes\adfamkcwpr.adfamkcwpr
ABSENT Key: HKLM\Software\Classes\adfamkcwpr.adfamkcwpr.1.0
ABSENT Key: HKLM\Software\Classes\brumamkcwgrm.brumamkcwgrm
ABSENT Key: HKLM\Software\Classes\brumamkcwgrm.brumamkcwgrm.1.0
SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{20F08D1D-10F1-4EEB-BF27-ABC45E7E761D}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{20F08D1D-10F1-4EEB-BF27-ABC45E7E761D}
ABSENT Key: HKLM\Software\Classes\CLSID\{20F08D1D-10F1-4EEB-BF27-ABC45E7E761D}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{27DAE335-5892-4D9E-9210-9AE2717AFAAB}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{27DAE335-5892-4D9E-9210-9AE2717AFAAB}
ABSENT Key: HKLM\Software\Classes\CLSID\{27DAE335-5892-4D9E-9210-9AE2717AFAAB}
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}
SUPPRIME Key: HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\antimalware doctor

========== Valeur(s) du Registre ==========
ABSENT RunValue: ApnUpdater
ABSENT RunValue: Fxowetunu
SUPPRIME AAKE KeyValue: C:\Program Files\uusee\UUSeePlayer.exe
SUPPRIME IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe

========== Elément(s) de donnée du Registre ==========
SUPPRIME Trusted Zone: chat-land.org

========== Préférences navigateur ==========
PRESENT Chrome File: C:\Users\Mamat\AppData\Local\Google\Chrome\User Data\Default\Preferences
SUPPRIME Chrome Site: http://ww12.cherche.us
SUPPRIME Chrome Site: http://ww12.cherche.us
SUPPRIME Chrome Site: http://ww12.cherche.us

========== Dossier(s) ==========
SUPPRIME Folder*: C:\Program Files\uusee
ABSENT C:\Users\Mamat\AppData\Roaming\89B856535C6599F414EEE7B1F11EA329

========== Fichier(s) ==========
ABSENT File: c:\program files\ask.com
ABSENT File: c:\users\mamat\appdata\local\gogsnh.dll
ABSENT File: c:\program files\uusee\uuseeplayer.exe
ABSENT File: c:\users\mamat\appdata\roaming\89b856535c6599f414eee7b1f11ea329\tplsub700jk.exe
ABSENT Folder/File: c:\users\mamat\appdata\local\gogsnh.dll
ABSENT Folder/File: c:\users\mamat\appdata\local\temp\smarcoxnwe.exe
ABSENT Folder/File: c:\users\mamat\appdata\local\temp\vjh.exe
ABSENT Folder/File: c:\users\mamat\appdata\local\temp\vji.exe
ABSENT Folder/File: c:\users\mamat\appdata\local\temp\vjl.exe
ABSENT Folder/File: c:\users\mamat\appdata\local\temp\vjm.exe
ABSENT Folder/File: c:\users\mamat\appdata\local\temp\vjn.exe
ABSENT Folder/File: c:\users\mamat\appdata\local\temp\vjp.exe
ABSENT Folder/File: c:\users\mamat\appdata\roaming\adobe\plugs
ABSENT Folder/File: c:\users\mamat\appdata\roaming\adobe\shed


========== Récapitulatif ==========
21 : Clé(s) du Registre
5 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
2 : Dossier(s)
14 : Fichier(s)
1 : Logiciel(s)
4 : Préférences navigateur


========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt



End of the scan in 00mn 02s



Merci beaucoup pour ton aide :)
0
Réponse 11 / 21
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
Modifié par NicoVA le 9/07/2011 à 21:13
Et bien sa doit faire du bien au pc. Maintenant :

1/

--> Télécharge Malwarebytes

--> Installe le et mets le à jour.

! Déconnecte toi et ferme toutes applications en cours !

--> Lance Malwarebyte's .

--> Fais un examen "Complet" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).

--> à la fin tu cliques sur "Afficher les résultats" .

--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

--> Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

--> Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)


A+
0
Réponse 12 / 21
Marmo2000 Messages postés 8 Date d'inscription samedi 9 juillet 2011 Statut Membre Dernière intervention 10 juillet 2011
9 juil. 2011 à 23:29
Hop 3 nouveaux de chopé ^^

entre temps j'ai fais un scan complet avec avast qui m'en à ressorti 5.

Oui le pc va deja mieux, ca se sent!

cependant il reste des processus étranges et un lag hinabituel ^^

svchost.exe plein de fois.

csrss.exe est ce un processus normal de Microsoft?


Merci beaucoup ^^




Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6705

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

09/07/2011 23:08:00
mbam-log-2011-07-09 (23-08-00).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 266855
Temps écoulé: 1 heure(s), 11 minute(s), 56 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchURL\SearchAssistant (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\pando networks\media booster\uninst.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Mamat\downloads\last.chaos-patch.exe (PUP.Hacktool.Patcher) -> Quarantined and deleted successfully.
c:\Users\Mamat\downloads\new folder\uusee_setup_2007.exe (PUP.Uusee) -> Quarantined and deleted successfully.
0
Réponse 13 / 21
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
9 juil. 2011 à 23:32
Ok

Peux tu me refaire un rapport ZHPdiag ?

A+
0
Réponse 14 / 21
Marmo2000 Messages postés 8 Date d'inscription samedi 9 juillet 2011 Statut Membre Dernière intervention 10 juillet 2011
9 juil. 2011 à 23:39
Rapport a l'adresse suivante :

http://www.cijoint.fr/cjlink.php?file=cj201107/cijiY7RTnO.txt

thanks
0
Réponse 15 / 21
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
10 juil. 2011 à 11:47
Salut

Tu fait la même manip ZHPfix sauf que tu colle sa dedans : 

G0 - GCSP: Preference [User Data\Default][HomePage] http://ww12.cherche.us  
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe     
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe     
O23 - Service:  (gpsvc) - Clé orpheline 
[HKCU\Software\Gddpxaqe] 
[HKLM\Software\Gddpxaqe] 
[MD5.69D45669A1DC32A78C5A6E78B118F5AF] [SPRF][09/07/2011] (.Swearware - ComboFix NSIS Installer.) -- C:\Users\Mamat\Desktop\asdehi.exe   [4137654] 
[MD5.FEDD65954C196C26359C7B5630082341] [SPRF][08/07/2011] (...) -- C:\Users\Mamat\Desktop\BTKR_RunBox.exe   [568832] 
[MD5.88EA0456488AB9A101CA1AE66A6651FF] [SPRF][08/07/2011] (.Pas de propriétaire - FakeAlertRemover.) -- C:\Users\Mamat\Desktop\FakeAlertRemover.exe   [115712] 
[MD5.E734B3628765CECBE0046AE8897C78DA] [SPRF][09/07/2011] (.Symantec Corporation - Fixtool for Trojan.Qhosts.) -- C:\Users\Mamat\Desktop\FixQhost.exe   [181952] 
[MD5.99567C04773695A25DA8101805FD08E8] [SPRF][09/07/2011] (.Symantec Corporation - Removal Tool for W32.Novarg@mm/W32.Mydoom@mm.) -- C:\Users\Mamat\Desktop\FxMydoom.exe   [297088] 
[MD5.FFD9CEF70883E655ED1913CFC5C97C44] [SPRF][01/09/2010] (.eSage Lab - eSage Lab Bootkit Remover.) -- C:\Users\Mamat\Desktop\remover.exe   [83968]


2/

--> Rends toi sur virustotal : https://www.virustotal.com/gui/

--> Clique sur parcourir et cherche les fichiers suivant :

C:\Program Files\Network Stumbler\NetStumbler.exe
C:\Program Files\Vistumbler\Vistumbler.exe

--> Tu double clique dessus ensuite sur la page de virustotal tu fais "Send Files"

--> Poste le rapport que tu obtiendras ( par un copié collé )

Ps : il faut faire la manip pour chaque fichiers

A++
0
Réponse 16 / 21
Marmo2000 Messages postés 8 Date d'inscription samedi 9 juillet 2011 Statut Membre Dernière intervention 10 juillet 2011
Modifié par Marmo2000 le 10/07/2011 à 12:46
File name: Vistumbler.exe
Submission date: 2011-07-10 10:31:50 (UTC)
Current status: finished
Result: 3/ 43 (7.0%)
VT Community


Antivirus Version Last Update Result
AhnLab-V3 2011.07.10.00 2011.07.09 -
AntiVir 7.11.11.45 2011.07.08 -
Antiy-AVL 2.0.3.7 2011.07.10 Trojan/Win32.Refroso.gen
Avast 4.8.1351.0 2011.07.10 -
Avast5 5.0.677.0 2011.07.10 -
AVG 10.0.0.1190 2011.07.10 -
BitDefender 7.2 2011.07.10 -
CAT-QuickHeal 11.00 2011.07.10 -
ClamAV 0.97.0.0 2011.07.10 -
Commtouch 5.3.2.6 2011.07.09 -
Comodo 9337 2011.07.10 -
DrWeb 5.0.2.03300 2011.07.10 Trojan.DownLoader1.46344
Emsisoft 5.1.0.8 2011.07.10 -
eSafe 7.0.17.0 2011.07.07 -
eTrust-Vet 36.1.8434 2011.07.08 -
F-Prot 4.6.2.117 2011.07.09 -
F-Secure 9.0.16440.0 2011.07.10 -
Fortinet 4.2.257.0 2011.07.10 -
GData 22 2011.07.10 -
Ikarus T3.1.1.104.0 2011.07.10 -
Jiangmin 13.0.900 2011.07.09 Trojan/Autoit.in
K7AntiVirus 9.108.4891 2011.07.10 -
Kaspersky 9.0.0.837 2011.07.10 -
McAfee 5.400.0.1158 2011.07.10 -
McAfee-GW-Edition 2010.1D 2011.07.09 -
Microsoft 1.7000 2011.07.10 -
NOD32 6280 2011.07.10 -
Norman 6.07.10 2011.07.10 -
nProtect 2011-07-10.01 2011.07.10 -
Panda 10.0.3.5 2011.07.09 -
PCTools 8.0.0.5 2011.07.08 -
Prevx 3.0 2011.07.10 -
Rising 23.65.04.03 2011.07.08 -
Sophos 4.67.0 2011.07.10 -
SUPERAntiSpyware 4.40.0.1006 2011.07.09 -
Symantec 20111.1.0.186 2011.07.10 -
TheHacker 6.7.0.1.250 2011.07.08 -
TrendMicro 9.200.0.1012 2011.07.10 -
TrendMicro-HouseCall 9.200.0.1012 2011.07.10 -
VBA32 3.12.16.4 2011.07.08 -
VIPRE 9822 2011.07.10 -
ViRobot 2011.7.9.4560 2011.07.10 -
VirusBuster 14.0.116.0 2011.07.09 -
Additional informationShow all
MD5 : 3454f2d8fdd5aef72d5ec1f1e7f92e41
SHA1 : ab1b1437a641488d49eea790d8a90c05fdd5de30
SHA256: 792a85c6783878c7946a5e5f707bb58dc4667cdbcf6e964582722ffba886f55d
VT Community
This file has never been reviewed by any VT Community member. Be the first one to comment on it!
VirusTotal Team


File name: Vistumbler.exe
Submission date: 2011-07-10 10:31:50 (UTC)
Current status: finished
Result: 3/ 43 (7.0%)



Antivirus Version Last Update Result
AhnLab-V3 2011.07.10.00 2011.07.09 -
AntiVir 7.11.11.45 2011.07.08 -
Antiy-AVL 2.0.3.7 2011.07.10 -
Avast 4.8.1351.0 2011.07.10 -
Avast5 5.0.677.0 2011.07.10 -
AVG 10.0.0.1190 2011.07.10 -
BitDefender 7.2 2011.07.10 -
CAT-QuickHeal 11.00 2011.07.10 -
ClamAV 0.97.0.0 2011.07.10 -
Commtouch 5.3.2.6 2011.07.09 -
Comodo 9337 2011.07.10 -
DrWeb 5.0.2.03300 2011.07.10 -
Emsisoft 5.1.0.8 2011.07.10 -
eSafe 7.0.17.0 2011.07.07 -
eTrust-Vet 36.1.8434 2011.07.08 -
F-Prot 4.6.2.117 2011.07.09 -
F-Secure 9.0.16440.0 2011.07.10 -
Fortinet 4.2.257.0 2011.07.10 -
GData 22 2011.07.10 -
Ikarus T3.1.1.104.0 2011.07.10 -
Jiangmin 13.0.900 2011.07.09 -
K7AntiVirus 9.108.4891 2011.07.10 -
Kaspersky 9.0.0.837 2011.07.10 -
McAfee 5.400.0.1158 2011.07.10 -
McAfee-GW-Edition 2010.1D 2011.07.09 -
Microsoft 1.7000 2011.07.10 -
NOD32 6280 2011.07.10 -
Norman 6.07.10 2011.07.10 -
nProtect 2011-07-10.01 2011.07.10 -
Panda 10.0.3.5 2011.07.09 -
PCTools 8.0.0.5 2011.07.08 -
Prevx 3.0 2011.07.10 -
Rising 23.65.04.03 2011.07.08 -
Sophos 4.67.0 2011.07.10 -
SUPERAntiSpyware 4.40.0.1006 2011.07.09 -
Symantec 20111.1.0.186 2011.07.10 -
TheHacker 6.7.0.1.250 2011.07.08 -
TrendMicro 9.200.0.1012 2011.07.10 -
TrendMicro-HouseCall 9.200.0.1012 2011.07.10 -
VBA32 3.12.16.4 2011.07.08 -
VIPRE 9822 2011.07.10 -
ViRobot 2011.7.9.4560 2011.07.10 -
VirusBuster 14.0.116.0 2011.07.09 -
Additional informationShow all
MD5 : 5ef079e5d178cb4ca7f2c904465edf36
SHA1 : aaa97acce14d85908b1684196930820c768b4b72
SHA256: 2d00eaffeb4618932e98ae1be298a38a0b6a9297c044af6094a9a0cb355b2356
VT Community

Rapport de ZHPFix 1.12.3337 par Nicolas Coolman, Update du 08/07/2011
Fichier d'export Registre : C:\ZHPExportRegistry-10-07-2011-12-45-54.txt
Run by Mamat at 10/07/2011 12:45:54
Windows 7 Ultimate Edition, 32-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\Mamat\Desktop\asdehi.exe
SUPPRIME Memory Process: C:\Users\Mamat\Desktop\BTKR_RunBox.exe
SUPPRIME Memory Process: C:\Users\Mamat\Desktop\FakeAlertRemover.exe
SUPPRIME Memory Process: C:\Users\Mamat\Desktop\FixQhost.exe
SUPPRIME Memory Process: C:\Users\Mamat\Desktop\FxMydoom.exe
SUPPRIME Memory Process: C:\Users\Mamat\Desktop\remover.exe

========== Clé(s) du Registre ==========
ABSENT Key: Service: gpsvc
SUPPRIME Key: HKCU\Software\Gddpxaqe
SUPPRIME Key: HKLM\Software\Gddpxaqe

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: Adobe Reader Speed Launcher
SUPPRIME RunValue: SunJavaUpdateSched

========== Préférences navigateur ==========
PRESENT Chrome File: C:\Users\Mamat\AppData\Local\Google\Chrome\User Data\Default\Preferences
SUPPRIME Chrome Site: http://ww12.cherche.us
SUPPRIME Chrome Site: http://ww12.cherche.us
SUPPRIME Chrome Site: http://ww12.cherche.us


========== Récapitulatif ==========
6 : Processus mémoire
3 : Clé(s) du Registre
2 : Valeur(s) du Registre
4 : Préférences navigateur


========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt



End of the scan in 00mn 06s

Saleté de programme trouvé sur forum xD

merci
0
Réponse 17 / 21
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
10 juil. 2011 à 14:11
Salut

Tu n'a pas posté le rapport virustotal pour NetStumbler.exe ;)

Sinon supprime à la main Vistumbler.exe.

A part sa tu as encore des problèmes ?
0
Réponse 18 / 21
Marmo2000 Messages postés 8 Date d'inscription samedi 9 juillet 2011 Statut Membre Dernière intervention 10 juillet 2011
10 juil. 2011 à 14:27
oups , j'ai posté le deuxieme sous le nom vistumbler alors que c'est enfaite netstumbler ^^

File name: NetStumbler.exe
Submission date: 2011-07-10 12:11:53 (UTC)
Current status: finished
Result: 0/ 43 (0.0%)
VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.07.11.00 2011.07.10 -
AntiVir 7.11.11.45 2011.07.08 -
Antiy-AVL 2.0.3.7 2011.07.10 -
Avast 4.8.1351.0 2011.07.10 -
Avast5 5.0.677.0 2011.07.10 -
AVG 10.0.0.1190 2011.07.10 -
BitDefender 7.2 2011.07.10 -
CAT-QuickHeal 11.00 2011.07.10 -
ClamAV 0.97.0.0 2011.07.10 -
Commtouch 5.3.2.6 2011.07.09 -
Comodo 9337 2011.07.10 -
DrWeb 5.0.2.03300 2011.07.10 -
Emsisoft 5.1.0.8 2011.07.10 -
eSafe 7.0.17.0 2011.07.07 -
eTrust-Vet 36.1.8434 2011.07.08 -
F-Prot 4.6.2.117 2011.07.09 -
F-Secure 9.0.16440.0 2011.07.10 -
Fortinet 4.2.257.0 2011.07.10 -
GData 22 2011.07.10 -
Ikarus T3.1.1.104.0 2011.07.10 -
Jiangmin 13.0.900 2011.07.09 -
K7AntiVirus 9.108.4891 2011.07.10 -
Kaspersky 9.0.0.837 2011.07.10 -
McAfee 5.400.0.1158 2011.07.10 -
McAfee-GW-Edition 2010.1D 2011.07.09 -
Microsoft 1.7000 2011.07.10 -
NOD32 6280 2011.07.10 -
Norman 6.07.10 2011.07.10 -
nProtect 2011-07-10.01 2011.07.10 -
Panda 10.0.3.5 2011.07.10 -
PCTools 8.0.0.5 2011.07.08 -
Prevx 3.0 2011.07.10 -
Rising 23.65.04.03 2011.07.08 -
Sophos 4.67.0 2011.07.10 -
SUPERAntiSpyware 4.40.0.1006 2011.07.09 -
Symantec 20111.1.0.186 2011.07.10 -
TheHacker 6.7.0.1.250 2011.07.08 -
TrendMicro 9.200.0.1012 2011.07.10 -
TrendMicro-HouseCall 9.200.0.1012 2011.07.10 -
VBA32 3.12.16.4 2011.07.08 -
VIPRE 9823 2011.07.10 -
ViRobot 2011.7.9.4560 2011.07.10 -
VirusBuster 14.0.116.0 2011.07.09 -
Additional informationShow all
MD5 : 5ef079e5d178cb4ca7f2c904465edf36
SHA1 : aaa97acce14d85908b1684196930820c768b4b72
SHA256: 2d00eaffeb4618932e98ae1be298a38a0b6a9297c044af6094a9a0cb355b2356

VT Community


Appart cela , il reste toujours actuellement
13 fois le processus svchost.exe de lancé...
et deux fois le processus csrss.exe.

est ce normal??

Merci beaucoup
0
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
10 juil. 2011 à 14:30
Tu pourrais me faire un impress écran de ton gestionnaire des taches ( Ctrl + alt + suppr ) et tu appui sur PrintScreen ( c'est en haut de ton clavier ) et tu me fais parvenir la photo via ci-joint par exemple.

A+
0
Réponse 19 / 21
Marmo2000 Messages postés 8 Date d'inscription samedi 9 juillet 2011 Statut Membre Dernière intervention 10 juillet 2011
10 juil. 2011 à 14:46
http://www.cijoint.fr/cjlink.php?file=cj201107/cijXxeE87i.png


voila le lien :)

merci

bonne aprem !
0
Réponse 20 / 21
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
10 juil. 2011 à 17:36
Salut

Ouep tout est ok => CPU Usage = 1%
Physical Memory = 30%


On peut finaliser ou tu rencontre encore des soucis ?

A+
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Virus MSN Tinyurl
djkifkif -
matt56430 -

8 réponses