Probleme virus

Résolu
marmout -  
Marmo2000 Messages postés 8 Date d'inscription   Statut Membre Dernière intervention   -
bonjour voila que je suis infecté par deux virus :

win32:hosts-j
renos-axw
renos-axy
renos-axr

j'ai vraiment du mal a trouver comment m'en debarasser.

pouvez vous m'aider?

merci davance.
A voir également:

21 réponses

  • 1
  • 2
Réponse 1 / 21
marmout
 
je poste un rapport Hijackthis qui pourra sans doute etre utile :




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:39:29, on 08/07/2011
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files\Ask.com\Updater\Updater.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\VMware\VMware Workstation\vmware-tray.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Billeo\billeo.exe
C:\Program Files\D-Link\DWA-547 revA\wirelesscm.exe
C:\Users\Mamat\Downloads\HiJackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.cherche.us/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cherche.us/keyword/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.cherche.us
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cherche.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.cherche.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.cherche.us
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cherche.us
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.cherche.us
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.cherche.us
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: PriceGong - {1631550F-191D-4826-B069-D9439253D926} - C:\Program Files\PriceGong\2.1.0\PriceGongIE.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Billeo - {465E08E7-F005-4389-980F-1D8764B3486C} - c:\program files\billeo\billeo.dll
O2 - BHO: IE BHO Utility - {5AB7104A-B71F-49AD-9154-F7F8806AE848} - C:\Program Files\Surf Canyon\surfcanyon.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Billeo - {6ADB0F93-1AA5-4BCF-9DF4-CEA689A3C111} - c:\program files\billeo\billeo.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [NBAgent] "C:\Program Files\Nero\Nero 10\Nero BackItUp\NBAgent.exe" /WinStart
O4 - HKLM\..\Run: [ApnUpdater] "C:\Program Files\Ask.com\Updater\Updater.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [vmware-tray] "C:\Program Files\VMware\VMware Workstation\vmware-tray.exe"
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [Fxowetunu] rundll32.exe "C:\Users\Mamat\AppData\Local\gogSnh.dll",Startup
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Global Startup: Billeo.lnk = C:\Program Files\Billeo\billeo.exe
O4 - Global Startup: Wireless Connection Manager.lnk = ?
O8 - Extra context menu item: Liens de téléchargement avec Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
O8 - Extra context menu item: Recherche avec cherche.us - C:\Users\Mamat\scriptjava.html
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Billeo - {97ED3A9F-CD6F-473A-8FE1-7505C1B844C3} - c:\program files\billeo\billeo.dll (HKCU)
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dll
O13 - Gopher Prefix:
O15 - Trusted Zone: *.chat-land.org
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Service Google Update (gupdate1cad4fd64152d49) (gupdate1cad4fd64152d49) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: JumpStart Wi-Fi Protected Setup (jswpsapi) - Atheros Communications, Inc. - C:\Program Files\D-Link\DWA-547 revA\jswpsapi.exe
O23 - Service: @C:\Program Files\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files\Nero\Update\NASvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe
O23 - Service: VMware USB Arbitration Service (VMUSBArbService) - VMware, Inc. - C:\Program Files\Common Files\VMware\USB\vmware-usbarbitrator.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe
0
Réponse 2 / 21
NicoVA Messages postés 1058 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Salut


--< Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

--< Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

--< Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
--< Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
--< Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum http://www.cijoint.fr/


A+
0
Réponse 3 / 21
marmout
 
voici le lien :)

http://www.cijoint.fr/cjlink.php?file=cj201107/cijqhpn7sW.txt


merci !
0
Réponse 4 / 21
NicoVA Messages postés 1058 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Alors tout d'abord j'hésite entre poubelle et décharge pour caractériser l'état de ton pc.

Ne le prends pas mal c'est pour rigoler :=)

Tu a énormément d'infection ! J'ai jamais vu sa, sa passe par les adwares, le rootkit, les trojans à gogo, faut vraiment être plus prudent ! sinon tu reviendras dans très peu de temps.

Tout d'abord :

1/

--> Télécharger ceci : FakeAlertRemover de NicoVA

--> Lance le et suis les indications à l'écran

--> A la fin un rapport va s'ouvrir, copie et colle sont contenu dans ta prochaine réponse

2/

--> Télécharge de AD-Remover sur ton Bureau.
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Ferme toutes applications en cours /!\

--> Double-clique sur l'icône Ad-remover située sur ton Bureau.

--> Sur la page, clique sur le bouton "recherche"

--> Confirme lancement du scan

--> Laisse travailler l'outil.

--> Poste le rapport qui apparaît à la fin.

3/

--> Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.

https://support.kaspersky.com/downloads/utils/tdsskiller.exe

--> Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")

--> Clique sur Start Scan pour démarrer l'analyse.

--> Si des éléments néfastes sont identifiés par l'outil, vérifie que Cure est bien coché. S'il indique "suspicious", laisse l'option Skip.

--> Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.

--> Un rapport s'ouvrira au redémarrage de l'ordinateur.

--> Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt


A+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 21
foo
 
Merci pour ta reponse tres rapide , et je ferai gaffe à l'avenir :)

FARemover version 1.1 - Nico
Framework version : 2.0.50727.4927
Système d'exploitation : Windows 7 Ultimate ¤ ¤ 32bits
Utilisateur : Mamat

¤¤¤ [ Processus malveillant en cours d'exécution ] ¤¤¤

[STOP] rundll32
[STOP] rundll32
¤¤¤[ Valeur(s) du registre ]¤¤¤

Aucune valeur(s) présente(s)

¤¤¤ [ Clé(s) du registre ] ¤¤¤

[DEL] HKCU\Software\SQ4DY0FH7F

[DEL] HKCU\Software\NtWqIVLZEWZU

[DEL] HKCU\Software\5EZBYSHFNV

[DEL] HKLM\[...]\startupreg\SQ4DY0FH7F

[DEL] HKLM\[...]\startupreg\NtWqIVLZEWZU

¤¤¤ [ Fichier(s) ] ¤¤¤

Aucun fichier(s) trouvé(s)

¤¤¤ [ Dossier(s) ] ¤¤¤

Aucun dossier(s) trouvé(s) !
0
Réponse 6 / 21
foo
 
oups je sais pas pourquoi mon pseudo a changé et jarrive plus a le changer -_-

soit , c est moi marmout :)


je poste un lien pour chaqun des deux autre rapports car je n'arrive pas a les poster ...

http://www.cijoint.fr/cjlink.php?file=cj201107/cijPfmved9.txt


http://www.cijoint.fr/cjlink.php?file=cj201107/cijYWI8EW3.txt



Merci :)
0
Réponse 7 / 21
NicoVA Messages postés 1058 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Salut !

1/

--> Relance Ad-Remover et clique sur suppression

2/

--> Refait un ZHPdiag ;-)

==

Je te conseille de t'inscrire sur le site, c'est simple, rapide ,gratuit et sa prends 2min. De plus tu pourras suivre notre discussion plus facilement.

Bonne soirée
0
Réponse 8 / 21
Marmo2000 Messages postés 8 Date d'inscription   Statut Membre Dernière intervention  
 
voila je me suis incrit :)


ci -joint le rapport de ZHPdiag

http://www.cijoint.fr/cjlink.php?file=cj201107/cijebeplDE.txt


Bonne soiree !

: )
0
Réponse 9 / 21
NicoVA Messages postés 1058 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Salut !

--> Lance ZHPfix en tant qu'administrateur (clic droit -> exécuter en tant qu'administrateur )

--> Ouvre ce lien : http://sd-2.archive-host.com/membres/up/174761209440524377/script.txt

--> Copie le contenu de la page

--> Clique sur le "H" dans ZHPfix ("coller les lignes Helper")

--> Clique sur GO

--> Un rapport va s'ouvrir, copie et colle le dans ta prochaine réponse

A+
0
Réponse 10 / 21
Marmo2000 Messages postés 8 Date d'inscription   Statut Membre Dernière intervention  
 
Rapport de ZHPFix 1.12.3337 par Nicolas Coolman, Update du 08/07/2011
Fichier d'export Registre :
Run by Mamat at 09/07/2011 21:06:21
Windows 7 Ultimate Edition, 32-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
ABSENT Software Key: Antimalware Doctor

========== Clé(s) du Registre ==========
ABSENT Trusted Zone: chat-land.org
ABSENT Key: Service: gpsvc
ABSENT Key: HKCU\Software\Antimalware Doctor Inc
ABSENT Key: StartupReg: Fxowetunu
ABSENT Key: StartupReg: tplsub700jk.exe
ABSENT Key: HKCU\Software\Context\Context-Ads
ABSENT Key: HKLM\Software\Context\Context-Ads
ABSENT Key: HKLM\Software\Classes\adfamkcwpr.adfamkcwpr
ABSENT Key: HKLM\Software\Classes\adfamkcwpr.adfamkcwpr.1.0
ABSENT Key: HKLM\Software\Classes\brumamkcwgrm.brumamkcwgrm
ABSENT Key: HKLM\Software\Classes\brumamkcwgrm.brumamkcwgrm.1.0
SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{20F08D1D-10F1-4EEB-BF27-ABC45E7E761D}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{20F08D1D-10F1-4EEB-BF27-ABC45E7E761D}
ABSENT Key: HKLM\Software\Classes\CLSID\{20F08D1D-10F1-4EEB-BF27-ABC45E7E761D}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{27DAE335-5892-4D9E-9210-9AE2717AFAAB}
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{27DAE335-5892-4D9E-9210-9AE2717AFAAB}
ABSENT Key: HKLM\Software\Classes\CLSID\{27DAE335-5892-4D9E-9210-9AE2717AFAAB}
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}
SUPPRIME Key: HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\antimalware doctor

========== Valeur(s) du Registre ==========
ABSENT RunValue: ApnUpdater
ABSENT RunValue: Fxowetunu
SUPPRIME AAKE KeyValue: C:\Program Files\uusee\UUSeePlayer.exe
SUPPRIME IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe

========== Elément(s) de donnée du Registre ==========
SUPPRIME Trusted Zone: chat-land.org

========== Préférences navigateur ==========
PRESENT Chrome File: C:\Users\Mamat\AppData\Local\Google\Chrome\User Data\Default\Preferences
SUPPRIME Chrome Site: http://ww12.cherche.us
SUPPRIME Chrome Site: http://ww12.cherche.us
SUPPRIME Chrome Site: http://ww12.cherche.us

========== Dossier(s) ==========
SUPPRIME Folder*: C:\Program Files\uusee
ABSENT C:\Users\Mamat\AppData\Roaming\89B856535C6599F414EEE7B1F11EA329

========== Fichier(s) ==========
ABSENT File: c:\program files\ask.com
ABSENT File: c:\users\mamat\appdata\local\gogsnh.dll
ABSENT File: c:\program files\uusee\uuseeplayer.exe
ABSENT File: c:\users\mamat\appdata\roaming\89b856535c6599f414eee7b1f11ea329\tplsub700jk.exe
ABSENT Folder/File: c:\users\mamat\appdata\local\gogsnh.dll
ABSENT Folder/File: c:\users\mamat\appdata\local\temp\smarcoxnwe.exe
ABSENT Folder/File: c:\users\mamat\appdata\local\temp\vjh.exe
ABSENT Folder/File: c:\users\mamat\appdata\local\temp\vji.exe
ABSENT Folder/File: c:\users\mamat\appdata\local\temp\vjl.exe
ABSENT Folder/File: c:\users\mamat\appdata\local\temp\vjm.exe
ABSENT Folder/File: c:\users\mamat\appdata\local\temp\vjn.exe
ABSENT Folder/File: c:\users\mamat\appdata\local\temp\vjp.exe
ABSENT Folder/File: c:\users\mamat\appdata\roaming\adobe\plugs
ABSENT Folder/File: c:\users\mamat\appdata\roaming\adobe\shed


========== Récapitulatif ==========
21 : Clé(s) du Registre
5 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
2 : Dossier(s)
14 : Fichier(s)
1 : Logiciel(s)
4 : Préférences navigateur


========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt



End of the scan in 00mn 02s



Merci beaucoup pour ton aide :)
0
Réponse 11 / 21
NicoVA Messages postés 1058 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Et bien sa doit faire du bien au pc. Maintenant :

1/

--> Télécharge Malwarebytes

--> Installe le et mets le à jour.

! Déconnecte toi et ferme toutes applications en cours !

--> Lance Malwarebyte's .

--> Fais un examen "Complet" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).

--> à la fin tu cliques sur "Afficher les résultats" .

--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

--> Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

--> Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)


A+
0
Réponse 12 / 21
Marmo2000 Messages postés 8 Date d'inscription   Statut Membre Dernière intervention  
 
Hop 3 nouveaux de chopé ^^

entre temps j'ai fais un scan complet avec avast qui m'en à ressorti 5.

Oui le pc va deja mieux, ca se sent!

cependant il reste des processus étranges et un lag hinabituel ^^

svchost.exe plein de fois.

csrss.exe est ce un processus normal de Microsoft?


Merci beaucoup ^^




Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6705

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

09/07/2011 23:08:00
mbam-log-2011-07-09 (23-08-00).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 266855
Temps écoulé: 1 heure(s), 11 minute(s), 56 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchURL\SearchAssistant (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\pando networks\media booster\uninst.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Mamat\downloads\last.chaos-patch.exe (PUP.Hacktool.Patcher) -> Quarantined and deleted successfully.
c:\Users\Mamat\downloads\new folder\uusee_setup_2007.exe (PUP.Uusee) -> Quarantined and deleted successfully.
0
Réponse 13 / 21
NicoVA Messages postés 1058 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Ok

Peux tu me refaire un rapport ZHPdiag ?

A+
0
Réponse 14 / 21
Marmo2000 Messages postés 8 Date d'inscription   Statut Membre Dernière intervention  
 
Rapport a l'adresse suivante :

http://www.cijoint.fr/cjlink.php?file=cj201107/cijiY7RTnO.txt

thanks
0
Réponse 15 / 21
NicoVA Messages postés 1058 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Salut

Tu fait la même manip ZHPfix sauf que tu colle sa dedans : 

G0 - GCSP: Preference [User Data\Default][HomePage] http://ww12.cherche.us  
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe     
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe     
O23 - Service:  (gpsvc) - Clé orpheline 
[HKCU\Software\Gddpxaqe] 
[HKLM\Software\Gddpxaqe] 
[MD5.69D45669A1DC32A78C5A6E78B118F5AF] [SPRF][09/07/2011] (.Swearware - ComboFix NSIS Installer.) -- C:\Users\Mamat\Desktop\asdehi.exe   [4137654] 
[MD5.FEDD65954C196C26359C7B5630082341] [SPRF][08/07/2011] (...) -- C:\Users\Mamat\Desktop\BTKR_RunBox.exe   [568832] 
[MD5.88EA0456488AB9A101CA1AE66A6651FF] [SPRF][08/07/2011] (.Pas de propriétaire - FakeAlertRemover.) -- C:\Users\Mamat\Desktop\FakeAlertRemover.exe   [115712] 
[MD5.E734B3628765CECBE0046AE8897C78DA] [SPRF][09/07/2011] (.Symantec Corporation - Fixtool for Trojan.Qhosts.) -- C:\Users\Mamat\Desktop\FixQhost.exe   [181952] 
[MD5.99567C04773695A25DA8101805FD08E8] [SPRF][09/07/2011] (.Symantec Corporation - Removal Tool for W32.Novarg@mm/W32.Mydoom@mm.) -- C:\Users\Mamat\Desktop\FxMydoom.exe   [297088] 
[MD5.FFD9CEF70883E655ED1913CFC5C97C44] [SPRF][01/09/2010] (.eSage Lab - eSage Lab Bootkit Remover.) -- C:\Users\Mamat\Desktop\remover.exe   [83968]


2/

--> Rends toi sur virustotal : https://www.virustotal.com/gui/

--> Clique sur parcourir et cherche les fichiers suivant :

C:\Program Files\Network Stumbler\NetStumbler.exe
C:\Program Files\Vistumbler\Vistumbler.exe

--> Tu double clique dessus ensuite sur la page de virustotal tu fais "Send Files"

--> Poste le rapport que tu obtiendras ( par un copié collé )

Ps : il faut faire la manip pour chaque fichiers

A++
0
Réponse 16 / 21
Marmo2000 Messages postés 8 Date d'inscription   Statut Membre Dernière intervention  
 
File name: Vistumbler.exe
Submission date: 2011-07-10 10:31:50 (UTC)
Current status: finished
Result: 3/ 43 (7.0%)
VT Community


Antivirus Version Last Update Result
AhnLab-V3 2011.07.10.00 2011.07.09 -
AntiVir 7.11.11.45 2011.07.08 -
Antiy-AVL 2.0.3.7 2011.07.10 Trojan/Win32.Refroso.gen
Avast 4.8.1351.0 2011.07.10 -
Avast5 5.0.677.0 2011.07.10 -
AVG 10.0.0.1190 2011.07.10 -
BitDefender 7.2 2011.07.10 -
CAT-QuickHeal 11.00 2011.07.10 -
ClamAV 0.97.0.0 2011.07.10 -
Commtouch 5.3.2.6 2011.07.09 -
Comodo 9337 2011.07.10 -
DrWeb 5.0.2.03300 2011.07.10 Trojan.DownLoader1.46344
Emsisoft 5.1.0.8 2011.07.10 -
eSafe 7.0.17.0 2011.07.07 -
eTrust-Vet 36.1.8434 2011.07.08 -
F-Prot 4.6.2.117 2011.07.09 -
F-Secure 9.0.16440.0 2011.07.10 -
Fortinet 4.2.257.0 2011.07.10 -
GData 22 2011.07.10 -
Ikarus T3.1.1.104.0 2011.07.10 -
Jiangmin 13.0.900 2011.07.09 Trojan/Autoit.in
K7AntiVirus 9.108.4891 2011.07.10 -
Kaspersky 9.0.0.837 2011.07.10 -
McAfee 5.400.0.1158 2011.07.10 -
McAfee-GW-Edition 2010.1D 2011.07.09 -
Microsoft 1.7000 2011.07.10 -
NOD32 6280 2011.07.10 -
Norman 6.07.10 2011.07.10 -
nProtect 2011-07-10.01 2011.07.10 -
Panda 10.0.3.5 2011.07.09 -
PCTools 8.0.0.5 2011.07.08 -
Prevx 3.0 2011.07.10 -
Rising 23.65.04.03 2011.07.08 -
Sophos 4.67.0 2011.07.10 -
SUPERAntiSpyware 4.40.0.1006 2011.07.09 -
Symantec 20111.1.0.186 2011.07.10 -
TheHacker 6.7.0.1.250 2011.07.08 -
TrendMicro 9.200.0.1012 2011.07.10 -
TrendMicro-HouseCall 9.200.0.1012 2011.07.10 -
VBA32 3.12.16.4 2011.07.08 -
VIPRE 9822 2011.07.10 -
ViRobot 2011.7.9.4560 2011.07.10 -
VirusBuster 14.0.116.0 2011.07.09 -
Additional informationShow all
MD5 : 3454f2d8fdd5aef72d5ec1f1e7f92e41
SHA1 : ab1b1437a641488d49eea790d8a90c05fdd5de30
SHA256: 792a85c6783878c7946a5e5f707bb58dc4667cdbcf6e964582722ffba886f55d
VT Community
This file has never been reviewed by any VT Community member. Be the first one to comment on it!
VirusTotal Team


File name: Vistumbler.exe
Submission date: 2011-07-10 10:31:50 (UTC)
Current status: finished
Result: 3/ 43 (7.0%)



Antivirus Version Last Update Result
AhnLab-V3 2011.07.10.00 2011.07.09 -
AntiVir 7.11.11.45 2011.07.08 -
Antiy-AVL 2.0.3.7 2011.07.10 -
Avast 4.8.1351.0 2011.07.10 -
Avast5 5.0.677.0 2011.07.10 -
AVG 10.0.0.1190 2011.07.10 -
BitDefender 7.2 2011.07.10 -
CAT-QuickHeal 11.00 2011.07.10 -
ClamAV 0.97.0.0 2011.07.10 -
Commtouch 5.3.2.6 2011.07.09 -
Comodo 9337 2011.07.10 -
DrWeb 5.0.2.03300 2011.07.10 -
Emsisoft 5.1.0.8 2011.07.10 -
eSafe 7.0.17.0 2011.07.07 -
eTrust-Vet 36.1.8434 2011.07.08 -
F-Prot 4.6.2.117 2011.07.09 -
F-Secure 9.0.16440.0 2011.07.10 -
Fortinet 4.2.257.0 2011.07.10 -
GData 22 2011.07.10 -
Ikarus T3.1.1.104.0 2011.07.10 -
Jiangmin 13.0.900 2011.07.09 -
K7AntiVirus 9.108.4891 2011.07.10 -
Kaspersky 9.0.0.837 2011.07.10 -
McAfee 5.400.0.1158 2011.07.10 -
McAfee-GW-Edition 2010.1D 2011.07.09 -
Microsoft 1.7000 2011.07.10 -
NOD32 6280 2011.07.10 -
Norman 6.07.10 2011.07.10 -
nProtect 2011-07-10.01 2011.07.10 -
Panda 10.0.3.5 2011.07.09 -
PCTools 8.0.0.5 2011.07.08 -
Prevx 3.0 2011.07.10 -
Rising 23.65.04.03 2011.07.08 -
Sophos 4.67.0 2011.07.10 -
SUPERAntiSpyware 4.40.0.1006 2011.07.09 -
Symantec 20111.1.0.186 2011.07.10 -
TheHacker 6.7.0.1.250 2011.07.08 -
TrendMicro 9.200.0.1012 2011.07.10 -
TrendMicro-HouseCall 9.200.0.1012 2011.07.10 -
VBA32 3.12.16.4 2011.07.08 -
VIPRE 9822 2011.07.10 -
ViRobot 2011.7.9.4560 2011.07.10 -
VirusBuster 14.0.116.0 2011.07.09 -
Additional informationShow all
MD5 : 5ef079e5d178cb4ca7f2c904465edf36
SHA1 : aaa97acce14d85908b1684196930820c768b4b72
SHA256: 2d00eaffeb4618932e98ae1be298a38a0b6a9297c044af6094a9a0cb355b2356
VT Community

Rapport de ZHPFix 1.12.3337 par Nicolas Coolman, Update du 08/07/2011
Fichier d'export Registre : C:\ZHPExportRegistry-10-07-2011-12-45-54.txt
Run by Mamat at 10/07/2011 12:45:54
Windows 7 Ultimate Edition, 32-bit (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\Mamat\Desktop\asdehi.exe
SUPPRIME Memory Process: C:\Users\Mamat\Desktop\BTKR_RunBox.exe
SUPPRIME Memory Process: C:\Users\Mamat\Desktop\FakeAlertRemover.exe
SUPPRIME Memory Process: C:\Users\Mamat\Desktop\FixQhost.exe
SUPPRIME Memory Process: C:\Users\Mamat\Desktop\FxMydoom.exe
SUPPRIME Memory Process: C:\Users\Mamat\Desktop\remover.exe

========== Clé(s) du Registre ==========
ABSENT Key: Service: gpsvc
SUPPRIME Key: HKCU\Software\Gddpxaqe
SUPPRIME Key: HKLM\Software\Gddpxaqe

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: Adobe Reader Speed Launcher
SUPPRIME RunValue: SunJavaUpdateSched

========== Préférences navigateur ==========
PRESENT Chrome File: C:\Users\Mamat\AppData\Local\Google\Chrome\User Data\Default\Preferences
SUPPRIME Chrome Site: http://ww12.cherche.us
SUPPRIME Chrome Site: http://ww12.cherche.us
SUPPRIME Chrome Site: http://ww12.cherche.us


========== Récapitulatif ==========
6 : Processus mémoire
3 : Clé(s) du Registre
2 : Valeur(s) du Registre
4 : Préférences navigateur


========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt



End of the scan in 00mn 06s

Saleté de programme trouvé sur forum xD

merci
0
Réponse 17 / 21
NicoVA Messages postés 1058 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Salut

Tu n'a pas posté le rapport virustotal pour NetStumbler.exe ;)

Sinon supprime à la main Vistumbler.exe.

A part sa tu as encore des problèmes ?
0
Réponse 18 / 21
Marmo2000 Messages postés 8 Date d'inscription   Statut Membre Dernière intervention  
 
oups , j'ai posté le deuxieme sous le nom vistumbler alors que c'est enfaite netstumbler ^^

File name: NetStumbler.exe
Submission date: 2011-07-10 12:11:53 (UTC)
Current status: finished
Result: 0/ 43 (0.0%)
VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.07.11.00 2011.07.10 -
AntiVir 7.11.11.45 2011.07.08 -
Antiy-AVL 2.0.3.7 2011.07.10 -
Avast 4.8.1351.0 2011.07.10 -
Avast5 5.0.677.0 2011.07.10 -
AVG 10.0.0.1190 2011.07.10 -
BitDefender 7.2 2011.07.10 -
CAT-QuickHeal 11.00 2011.07.10 -
ClamAV 0.97.0.0 2011.07.10 -
Commtouch 5.3.2.6 2011.07.09 -
Comodo 9337 2011.07.10 -
DrWeb 5.0.2.03300 2011.07.10 -
Emsisoft 5.1.0.8 2011.07.10 -
eSafe 7.0.17.0 2011.07.07 -
eTrust-Vet 36.1.8434 2011.07.08 -
F-Prot 4.6.2.117 2011.07.09 -
F-Secure 9.0.16440.0 2011.07.10 -
Fortinet 4.2.257.0 2011.07.10 -
GData 22 2011.07.10 -
Ikarus T3.1.1.104.0 2011.07.10 -
Jiangmin 13.0.900 2011.07.09 -
K7AntiVirus 9.108.4891 2011.07.10 -
Kaspersky 9.0.0.837 2011.07.10 -
McAfee 5.400.0.1158 2011.07.10 -
McAfee-GW-Edition 2010.1D 2011.07.09 -
Microsoft 1.7000 2011.07.10 -
NOD32 6280 2011.07.10 -
Norman 6.07.10 2011.07.10 -
nProtect 2011-07-10.01 2011.07.10 -
Panda 10.0.3.5 2011.07.10 -
PCTools 8.0.0.5 2011.07.08 -
Prevx 3.0 2011.07.10 -
Rising 23.65.04.03 2011.07.08 -
Sophos 4.67.0 2011.07.10 -
SUPERAntiSpyware 4.40.0.1006 2011.07.09 -
Symantec 20111.1.0.186 2011.07.10 -
TheHacker 6.7.0.1.250 2011.07.08 -
TrendMicro 9.200.0.1012 2011.07.10 -
TrendMicro-HouseCall 9.200.0.1012 2011.07.10 -
VBA32 3.12.16.4 2011.07.08 -
VIPRE 9823 2011.07.10 -
ViRobot 2011.7.9.4560 2011.07.10 -
VirusBuster 14.0.116.0 2011.07.09 -
Additional informationShow all
MD5 : 5ef079e5d178cb4ca7f2c904465edf36
SHA1 : aaa97acce14d85908b1684196930820c768b4b72
SHA256: 2d00eaffeb4618932e98ae1be298a38a0b6a9297c044af6094a9a0cb355b2356

VT Community


Appart cela , il reste toujours actuellement
13 fois le processus svchost.exe de lancé...
et deux fois le processus csrss.exe.

est ce normal??

Merci beaucoup
0
NicoVA Messages postés 1058 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Tu pourrais me faire un impress écran de ton gestionnaire des taches ( Ctrl + alt + suppr ) et tu appui sur PrintScreen ( c'est en haut de ton clavier ) et tu me fais parvenir la photo via ci-joint par exemple.

A+
0
Réponse 19 / 21
Marmo2000 Messages postés 8 Date d'inscription   Statut Membre Dernière intervention  
 
http://www.cijoint.fr/cjlink.php?file=cj201107/cijXxeE87i.png


voila le lien :)

merci

bonne aprem !
0
Réponse 20 / 21
NicoVA Messages postés 1058 Date d'inscription   Statut Contributeur sécurité Dernière intervention   71
 
Salut

Ouep tout est ok => CPU Usage = 1%
Physical Memory = 30%


On peut finaliser ou tu rencontre encore des soucis ?

A+
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
message de postmaster incessant !
wasap -
wasap -

9 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses