virus tr crypt.xpack.gen3 Résolu/Fermé

Question

Bonjour, 

l'ordinateur de mon amie a été infecté par le virus tr crypt.xpack.gen3. Les fichiers ont été mis en quarantaine par avira, puis d'un coup il y a eu plusieurs messages d'erreur disque dur et qu'il fallait redémarrer l'ordi.

Entre temps, j'ai vu que toutes les icones du bureau avaient disparues d'un coup, les fichiers de la session aussi etc... j'ai redémarrer l'ordi  et toujours les mêmes messages pour le virus et le disque dur... et plus rien dans la session et le bureau...

j'ai fait une analyse avec hijacthis dont voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:36:40, on 10/07/2011
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\NewTech Infosystems\Packard Bell MyBackup\BackupManagerTray.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\VideoWebCamera\VideoWebCamera.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\PACKARD BELL\Packard Bell PowerSave Solution\ePowerTray.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Users\Lily\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Nikon\Monitor\NkMonitor.exe
C:\Program Files\Yuna Software\Messenger Plus!\PlusService.exe
C:\Program Files\PACKARD BELL\SetUpMyPC\SmpSys.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\ProgramData\DJlBLJDliBY.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\attrib.exe
C:\Windows\system32\attrib.exe
F:\HiJackThis.exe
C:\Windows\system32\attrib.exe
C:\Windows\system32\attrib.exe
C:\Windows\system32\conime.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?babsrc=HP_ss&mntrId=bad352a300000000000000225fab07ac&tlver=1.4.19.19&affID=17159
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&s=2&o=vp32&d=0809&m=easynote_lj65
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=bad352a300000000000000225fab07ac&tlver=1.4.19.19&affID=17159
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\bh\BabylonToolbar.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.4.1.10.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarTlbr.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [BackupManagerTray] "C:\Program Files\NewTech Infosystems\Packard Bell MyBackup\BackupManagerTray.exe" -k
O4 - HKLM\..\Run: [Acer ePower Management] C:\Program Files\Packard Bell\Packard Bell PowerSave Solution\ePowerTrayLauncher.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [VideoWebCamera] "C:\Program Files\VideoWebCamera\VideoWebCamera.exe" -a
O4 - HKLM\..\Run: [PLFSetI] C:\Program Files\PLFSetI.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [RemoteControl8] "C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe"
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD8\Language\Language.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [B2C_AGENT] C:\ProgramData\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Nikon Transfer Monitor] C:\Program Files\Common Files\Nikon\Monitor\NkMonitor.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [BabylonToolbar] "C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe" /md I
O4 - HKLM\..\Run: [PlusService] "C:\Program Files\Yuna Software\Messenger Plus!\PlusService.exe"
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\PACKARD BELL\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [DJlBLJDliBY] C:\ProgramData\DJlBLJDliBY.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
O8 - Extra context menu item: Tout télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Télécharger toutes les vidéos avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet	ools\BitCometBHO_1.4.1.10.dll/206 (file missing)
O13 - Gopher Prefix: 
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Acer ePower Service (ePowerSvc) - Acer Incorporated - C:\Program Files\PACKARD BELL\Packard Bell PowerSave Solution\ePowerSvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: Google Desktop Manager 5.9.1005.12335 (GoogleDesktopManager-051210-111108) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxdx_device -   - C:\Windows\system32\lxdxcoms.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NTI IScheduleSvc - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

Utilisateur anonyme · Answer

Re,

* Télécharge de AD-Remover sur ton Bureau. 
http://www.teamxscript.org/adremoverTelechargement.html 

/!\ Ferme toutes applications en cours /!\ 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « chercher » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c

korriban69 · Answer

Merci de m'aider, voici le rapport d'ad remover :

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [2]) -> Lancé à 13:59:03 le 10/07/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
Lily@PC-DE-LILY (Packard Bell EasyNote LJ65) 
 
============== RECHERCHE ==============


Dossier trouvé: C:\Users\Lily\AppData\Roaming\Mozilla\FireFox\Profiles\1lbikgzc.default\extensions\vshare@toolbar
Fichier trouvé: C:\Users\Lily\Downloads\iMeshV10.exe

-- Fichier ouvert: C:\Users\Lily\AppData\Roaming\Mozilla\FireFox\Profiles\1lbikgzc.default\Prefs.js --
Ligne trouvée: user_pref("extensions.vshare@toolbar.update.enabled", false); 
Ligne trouvée: user_pref("vshare.install.date", "1289347200000"); 
Ligne trouvée: user_pref("vshare.install.finished", "1.0.0"); 
Ligne trouvée: user_pref("vshare.install.guid", "{9390b86f-f421-49b4-86bc-4f52b1e43198}"); 
Ligne trouvée: user_pref("vshare.install.isDisabled", true); 
Ligne trouvée: user_pref("vshare.install.laststatreq", "1292284800000"); 
Ligne trouvée: user_pref("vshare.install.newtab", false); 
Ligne trouvée: user_pref("vshare.install.overlayVersion", 1); 
-- Fichier Fermé --
 

Clé trouvée: HKLM\Software\Classes\Interface\{BFE569F7-646C-4512-969B-9BE3E580D393}
Clé trouvée: HKLM\Software\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}
Clé trouvée: HKLM\Software\OpenCandy NSIS SDK
Clé trouvée: HKCU\Software\Grand Virtual
Clé trouvée: HKLM\Software\Messenger Plus!\OpenCandy
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Everest Poker
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\QuestService


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.18 (fr)] ****

Searchplugins\babylon.xml (hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=bad352a300000000000000225fab07ac&tlver=1.4.19.19&affID=17159/)
Extensions\{AAF6454A-4000-4015-84C1-6CD844C06B19} (QuestService)

-- C:\Users\Lily\AppData\Roaming\Mozilla\FireFox\Profiles\1lbikgzc.default --
Extensions\ffxtlbr@babylon.com (Babylon)
Extensions\vshare@toolbar (vShare)
Extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB} (BitComet Video Downloader)
Prefs.js - browser.search.selectedEngine, Search the web (Babylon)
Prefs.js - browser.startup.homepage, www.google.fr
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.18
Prefs.js - keyword.URL, hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=bad352a300000000000000225fab07ac&tlver=1.4.19.19&instlRef=ss...

========================================

**** Internet Explorer Version [7.0.6002.18005] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=bad352a300000000000000225fab07ac&tlver=1.4.19.19&affID=17159
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
AboutUrls|Tabs - hxxp://search.babylon.com/?babsrc=NT_ss&mntrId=bad352a300000000000000225fab07ac&tlver=1.4.19.19&affID=17159
HKCU_SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5} - "Search the web (Babylon)" (hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=bad352a3000000000...)
HKCU_SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E} - "Google Desktop" (hxxp://127.0.0.1:4664/search&s=4YOCvv6ePSr2CiqK2KVjhz3Fr6U?q={searchTerms})
HKLM_Toolbar|{98889811-442D-49dd-99D7-DC866BE87DBC} (C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarTlbr.dll)
HKCU_ElevationPolicy\{6052BF20-EA23-4A04-B3C1-A20EFE01A95A} - C:\Program Files\Veetle\Player\vtl_hfs.exe (?)
HKCU_ElevationPolicy\{680FA47E-AB59-46BE-B594-7358726E108B} - C:\Program Files\Veetle\Player\player.exe (?)
HKCU_ElevationPolicy\{E8BC6C2B-DD90-4397-96EB-2AAF0E48ABE6} - C:\Program Files\Veetle\Player\vtl_hfax.exe (?)
HKLM_ElevationPolicy\${ELV_GUID} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe (Babylon Ltd.)
HKLM_ElevationPolicy\{4414A37B-E7E9-4ddc-855F-A581276D565B} - C:\Program Files\GameRaving Toolbar\2.2.0.7580\mvbasst.exe (x)
HKLM_ElevationPolicy\{6052BF20-EA23-4A04-B3C1-A20EFE01A95A} - C:\Program Files\Veetle\Player\vtl_hfs.exe (?)
HKLM_ElevationPolicy\{680FA47E-AB59-46BE-B594-7358726E108B} - C:\Program Files\Veetle\Player\player.exe (?)
HKLM_ElevationPolicy\{731969D9-D88F-4f37-A384-D23638973AD2} - C:\Program Files\GameRaving Toolbar\2.2.0.7580\mvbapp.exe (x)
HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (Google)
HKLM_ElevationPolicy\{A451DAF9-C5AB-4a0e-B585-69012225002E} - C:\Program Files\GameRaving Toolbar\2.2.0.7580\mvbsvc.exe (x)
HKLM_ElevationPolicy\{E8BC6C2B-DD90-4397-96EB-2AAF0E48ABE6} - C:\Program Files\Veetle\Player\vtl_hfax.exe (?)
HKLM_Extensions\{D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - "BitComet" (C:\Program Files\BitComet	ools\BitCometBHO_1.4.1.10.dll,203)
BHO\{2EECD738-5844-4a99-B4B6-146BF802613B} - "CescrtHlpr Object" (C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\bh\BabylonToolbar.dll)
BHO\{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - "BitComet Helper" (C:\Program Files\BitComet	ools\BitCometBHO_1.4.1.10.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 2 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 10/07/2011 13:56:55 (470 Octet(s)) 
C:\Ad-Report-SCAN[2].txt - 10/07/2011 13:59:13 (6258 Octet(s)) 

Fin à: 14:00:47, 10/07/2011 
 
============== E.O.F ==============

Utilisateur anonyme · Answer

Re,

/!\ Ferme toutes applications en cours /!\

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton «Nettoyer»
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c

korriban69 · Answer

voici le rapport de nettoyage : 

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 14:28:14 le 10/07/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
Lily@PC-DE-LILY (Packard Bell EasyNote LJ65) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Users\Lily\AppData\Roaming\Mozilla\FireFox\Profiles\1lbikgzc.default\extensions\vshare@toolbar
Fichier supprimé: C:\Users\Lily\Downloads\iMeshV10.exe

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Lily\AppData\Roaming\Mozilla\FireFox\Profiles\1lbikgzc.default\Prefs.js --
Ligne supprimée: user_pref("extensions.vshare@toolbar.update.enabled", false); 
Ligne supprimée: user_pref("vshare.install.date", "1289347200000"); 
Ligne supprimée: user_pref("vshare.install.finished", "1.0.0"); 
Ligne supprimée: user_pref("vshare.install.guid", "{9390b86f-f421-49b4-86bc-4f52b1e43198}"); 
Ligne supprimée: user_pref("vshare.install.isDisabled", true); 
Ligne supprimée: user_pref("vshare.install.laststatreq", "1292284800000"); 
Ligne supprimée: user_pref("vshare.install.newtab", false); 
Ligne supprimée: user_pref("vshare.install.overlayVersion", 1); 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\Interface\{BFE569F7-646C-4512-969B-9BE3E580D393}
Clé supprimée: HKLM\Software\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}
Clé supprimée: HKLM\Software\OpenCandy NSIS SDK
Clé supprimée: HKCU\Software\Grand Virtual
Clé supprimée: HKLM\Software\Messenger Plus!\OpenCandy
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Everest Poker
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\QuestService


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.18 (fr)] ****

Searchplugins\babylon.xml (hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=bad352a300000000000000225fab07ac&tlver=1.4.19.19&affID=17159/)
Extensions\{AAF6454A-4000-4015-84C1-6CD844C06B19} (QuestService)

-- C:\Users\Lily\AppData\Roaming\Mozilla\FireFox\Profiles\1lbikgzc.default --
Extensions\ffxtlbr@babylon.com (Babylon)
Extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB} (BitComet Video Downloader)
Prefs.js - browser.search.selectedEngine, Search the web (Babylon)
Prefs.js - browser.startup.homepage, www.google.fr
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.18
Prefs.js - keyword.URL, hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=bad352a300000000000000225fab07ac&tlver=1.4.19.19&instlRef=ss...

========================================

**** Internet Explorer Version [7.0.6002.18005] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E} - "Google Desktop" (hxxp://127.0.0.1:4664/search&s=4YOCvv6ePSr2CiqK2KVjhz3Fr6U?q={searchTerms})
HKLM_Toolbar|{98889811-442D-49dd-99D7-DC866BE87DBC} (C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarTlbr.dll)
HKCU_ElevationPolicy\{6052BF20-EA23-4A04-B3C1-A20EFE01A95A} - C:\Program Files\Veetle\Player\vtl_hfs.exe (?)
HKCU_ElevationPolicy\{680FA47E-AB59-46BE-B594-7358726E108B} - C:\Program Files\Veetle\Player\player.exe (?)
HKCU_ElevationPolicy\{E8BC6C2B-DD90-4397-96EB-2AAF0E48ABE6} - C:\Program Files\Veetle\Player\vtl_hfax.exe (?)
HKLM_ElevationPolicy\${ELV_GUID} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe (Babylon Ltd.)
HKLM_ElevationPolicy\{4414A37B-E7E9-4ddc-855F-A581276D565B} - C:\Program Files\GameRaving Toolbar\2.2.0.7580\mvbasst.exe (x)
HKLM_ElevationPolicy\{6052BF20-EA23-4A04-B3C1-A20EFE01A95A} - C:\Program Files\Veetle\Player\vtl_hfs.exe (?)
HKLM_ElevationPolicy\{680FA47E-AB59-46BE-B594-7358726E108B} - C:\Program Files\Veetle\Player\player.exe (?)
HKLM_ElevationPolicy\{731969D9-D88F-4f37-A384-D23638973AD2} - C:\Program Files\GameRaving Toolbar\2.2.0.7580\mvbapp.exe (x)
HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (Google)
HKLM_ElevationPolicy\{A451DAF9-C5AB-4a0e-B585-69012225002E} - C:\Program Files\GameRaving Toolbar\2.2.0.7580\mvbsvc.exe (x)
HKLM_ElevationPolicy\{E8BC6C2B-DD90-4397-96EB-2AAF0E48ABE6} - C:\Program Files\Veetle\Player\vtl_hfax.exe (?)
HKLM_Extensions\{D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - "BitComet" (C:\Program Files\BitComet	ools\BitCometBHO_1.4.1.10.dll,203)
BHO\{2EECD738-5844-4a99-B4B6-146BF802613B} - "CescrtHlpr Object" (C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\bh\BabylonToolbar.dll)
BHO\{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - "BitComet Helper" (C:\Program Files\BitComet	ools\BitCometBHO_1.4.1.10.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 13 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 18 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 10/07/2011 14:28:27 (5853 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 10/07/2011 13:56:55 (470 Octet(s)) 
C:\Ad-Report-SCAN[2].txt - 10/07/2011 13:59:13 (6396 Octet(s)) 

Fin à: 14:31:00, 10/07/2011 
 
============== E.O.F ============== 


Du coup je demandais pour les fichers disparus... sont ils définitivement supprimés du disque du ? est ce qu'une restauration peut arranger les choses ? ou un autre utilitaire ?

j'ai toujours les messages d'erreurs disque dur...

Ce qui est bizarre c'est que la taille du disque dur n'a pas bougé depuis les fichiers disparus...

Si quelqu'un pourrait me répondre là dessus , merci :/

Utilisateur anonyme · Answer

Re,

Nous allons effectuer un diagnostic de ton PC: 
*Télécharge ZHPDiag sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag" 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : 
http://pjjoint.malekal.com/ 

Si indisponible: 
http://www.cijoint.fr/ 

* Tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com 

* Rends toi sur http://pjjoint.malekal.com/ 
* Clique sur le bouton Parcourir 
* Sélectionne le fichier que tu veux heberger et clique sur Ouvrir 
*Clique sur le bouton Envoyer 
* Un message de confirmation s'affiche, copie le lien dans ta prochaine réponse.

korriban69 · Answer

Voici le lien du rapport :

https://pjjoint.malekal.com/files.php?read=25f1049f781258

Cependant, après un redémarrage, avira a retrouvé des fichiers du virus à remettre en quarantaine...

korriban69 · Answer

---\ Etat des fichiers cachés (Caché/Total)
~ Mes images (My Pictures) : 156/156   (Modified) 
~ Mes musiques (My Musics) : 2/2   (Modified) 
~ Mes Videos (My Videos) : 6/6   (Modified) 
~ Mes Favoris (My Favorites) : 25/25   (Modified) 
~ Mes Documents (My Documents) : 1881/1881   (Modified) 
~ Mon Bureau (My Desktop) : 211/212
~ Menu demarrer (Programs) : 32/37


Cela veut il dire que les fichiers disparus sont seulement caché et non perdus... ?

korriban69 · Answer

up ! :)

Utilisateur anonyme · Answer

Re,

Rassure toi korriban69, surement je te répond mais 

un peu de patience stp  :)



 * Télécharge sur le bureau RogueKiller (par tigzy)  
https://www.luanagames.com/index.fr.html  


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )  

* Quitte tous tes programmes en cours  
* Lance RogueKiller.exe.  
* Lorsque demandé, tape 1 et valide  
*Si le rogue empêche le lancement du programme, Renomme (RogueKiller) en "winlogon" ou "firefox". Sinon renomme le  en winlogon.exe ou firefox.exe (rajouter l'extension .exe) 
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse  
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

korriban69 · Answer

pas de souci pardon :) voici le rapport : RogueKiller V5.2.7 [30/06/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Lily [Droits d'admin] Mode: Recherche -- Date : 10/07/2011 18:16:09 Processus malicieux: 1 [SUSP PATH] DJlBLJDliBY.exe -- c:\programdata\djlbljdliby.exe -> KILLED Entrees de registre: 12 [SUSP PATH] HKCU\[...]\Run : DJlBLJDliBY (C:\ProgramData\DJlBLJDliBY.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-1890771262-1079850162-3353012723-1000[...]\Run : DJlBLJDliBY (C:\ProgramData\DJlBLJDliBY.exe) -> FOUND [SUSP PATH] iMeshNAG.job : c:\users\lily\appdata\local\temp\imesh_setup.exe -> FOUND [SUSP PATH] iMeshNAG.job : c:\users\lily\appdata\local\temp\imesh_setup.exe -> FOUND [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND [HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND Fichier HOSTS: 127.0.0.1 localhost ::1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt

Utilisateur anonyme · Answer

Re,

Lance de nouveau RogueKiller puis tape 2 ensuite 6 et tu m'envois les deux rapports correspondant à ces 2 options (2 et 6 )

korriban69 · Answer

énorme ce logiciel ! il a tout restauré ! rapport pour l'option 2 : RogueKiller V5.2.7 [30/06/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Lily [Droits d'admin] Mode: Suppression -- Date : 10/07/2011 18:41:40 Processus malicieux: 0 Entrees de registre: 11 [SUSP PATH] HKCU\[...]\Run : DJlBLJDliBY (C:\ProgramData\DJlBLJDliBY.exe) -> DELETED [SUSP PATH] iMeshNAG.job : c:\users\lily\appdata\local\temp\imesh_setup.exe -> DELETED [SUSP PATH] iMeshNAG.job : c:\users\lily\appdata\local\temp\imesh_setup.exe -> DELETED [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0) [HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0) Fichier HOSTS: 127.0.0.1 localhost ::1 localhost Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt rapport pour l'option 6 : RogueKiller V5.2.7 [30/06/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Lily [Droits d'admin] Mode: Raccourcis RAZ -- Date : 10/07/2011 18:43:10 Processus malicieux: 0 Attributs de fichiers restaures: Bureau: Success 224 / Fail 0 Lancement rapide: Success 8 / Fail 0 Programmes: Success 5324 / Fail 0 Menu demarrer: Success 45 / Fail 0 Dossier utilisateur: Success 27041 / Fail 0 Mes documents: Success 1989 / Fail 0 Mes favoris: Success 31 / Fail 0 Mes images: Success 161 / Fail 0 Ma musique: Success 2 / Fail 0 Mes videos: Success 6 / Fail 0 Disques locaux: Success 31326 / Fail 0 Sauvegarde: [FOUND] Success 42 / Fail 0 Lecteurs: [C:] \Device\HarddiskVolume2 -- 0x3 --> Restored [D:] \Device\CdRom0 -- 0x5 --> Skipped [F:] \Device\HarddiskVolume6 -- 0x2 --> Restored Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Utilisateur anonyme · Answer

Re,
1/
En principe tu as récupéré tous tes dossiers, Images !

2/
Copie tout le texte présent ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 



M2 - MFEP: prefs.js [Lily - 1lbikgzc.default\ffxtlbr@babylon.com] [] Babylon v1.1.3 (.Babylon.)     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
\{2EECD738-5844-4a99-B4B6-146BF802613B}]     
[HKLM\Software\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}]     
[HKLM\Software\Classes\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}]     
[HKCU\Software\BabylonToolbar]     
[HKLM\Software\BabylonToolbar]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\BabylonToolbar] 
C:\Program Files\BabylonToolbar     
C:\Users\Lily\AppData\LocalLow\BabylonToolbar     
C:\Users\Lily\AppData\Roaming\Mozilla\Firefox\Profiles\1lbikgzc.default\Extensions\ffxtlbr@babylon.com 





Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.

3/
 *Télécharges Malwarebytes' (mbam)  

ICI >> Malwarebytes' (mbam)  
 

* installes + mise a jour 
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir 
* Lances--> Malwarebytes (MBAM) 
* Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet 
* puis "Rechercher" 
* Sélectionnes tes disques durs" puis clique sur "Lancer l'examen" 
* A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport 
*Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection 
* S'il t' es demandé de redémarrer, clique sur "oui " 
* aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici 
!!! Ne pas vider la quarantaine de MBAM sans avis !!! 

@+

korriban69 · Answer

voici le rapport ZHP Fix :

Rapport de ZHPFix 1.12.3337 par Nicolas Coolman, Update du 08/07/2011
Fichier d'export Registre : 
Run by Lily at 10/07/2011 19:04:54
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}
SUPPRIME Key: HKCU\Software\BabylonToolbar
SUPPRIME Key: HKLM\Software\BabylonToolbar
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\BabylonToolbar

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\Lily\AppData\Roaming\Mozilla\Firefox\Profiles\1lbikgzc.default\extensions\ffxtlbr@babylon.com
SUPPRIME Folder*: c:\program files\babylontoolbar
SUPPRIME Folder: c:\users\lily\appdata\locallow\babylontoolbar

========== Fichier(s) ==========
ABSENT Folder/File: c:\users\lily\appdataoaming\mozilla\firefox\profiles\1lbikgzc.default\extensions\ffxtlbr@babylon.com

========== Autre ==========
NON TRAITE [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
NON TRAITE \{2EECD738-5844-4a99-B4B6-146BF802613B}]


========== Récapitulatif ==========
8 : Clé(s) du Registre
3 : Dossier(s)
1 : Fichier(s)
2 : Autre


========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt



End of the scan in 00mn 13s


Voici le  rapport  malwarebytes :

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 7064

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

10/07/2011 22:16:30
mbam-log-2011-07-10 (22-16-30).txt

Type d'examen: Examen complet (C:\|D:\|F:\|)
Elément(s) analysé(s): 344107
Temps écoulé: 3 heure(s), 0 minute(s), 55 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\programdata\djlbljdliby.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Lily\AppData\Local\Temp\jar_cache990471106865514282.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Lily\AppData\Local\Temp\jar_cache1930537107969875882.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Lily\AppData\Local\Temp	mp4C5E.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Lily\AppData\Local\Temp	mp94A4.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Lily\Desktopk_quarantine\djlbljdliby.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Lily\downloads\everest poker.fr.exe (PUP.Casino) -> Not selected for removal.

Utilisateur anonyme · Answer

Re,
1/
c:\Users\Lily\Desktop\rk_quarantine\djlbljdliby.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Lily\downloads\everest poker.fr.exe (PUP.Casino) -> Not selected for removal.

Les deux infections ci-dessus ne sont pas sélectionnées pour être supprimées!

Relance Malwarebytes et à la fin de l'analyse clique sur "Afficher le résultat" une fois toutes les lignes sont sélectionnées clique sur "supprimer la selection" puis poste le rapport

korriban69 · Answer

rapport après 2eme scan malwarebytes :  

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 7064

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

11/07/2011 02:06:08
mbam-log-2011-07-11 (02-06-08).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 177920
Temps écoulé: 10 minute(s), 28 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Lily\downloads\everest poker.fr.exe (PUP.Casino) -> Quarantined and deleted successfully.


rapport ZHPDiag :

https://pjjoint.malekal.com/files.php?read=4ae254a156598

Utilisateur anonyme · Answer

Bonjour,
Ou est l'autre  rapport de Malwarebytes ?

korriban69 · Answer

le rapport de Malwarebytes est celui que j'ai posté ci dessus après la 2eme analyse pour supprimer les fichiers infectés restants, je n'en ai pas d'autre

et le rapport ZHPdiag est ci dessus

Utilisateur anonyme · Answer

Re,

Ca va :

Copie tout le texte présent ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


O3 - Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} . (...) --  (.not file.)    => Infection BT (Toolbar.Babylon)
O4 - HKLM\..\Run: [BabylonToolbar] C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe (.not file.)    => Infection BT (Toolbar.Babylon)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}]    => Infection BT (Toolbar.Babylon)
[HKCU\Software\AppDataLow\Software\GameRaving Toolbar]     




Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.

korriban69 · Answer

re :)

voici le rapport zhp fix :

Rapport de ZHPFix 1.12.3337 par Nicolas Coolman, Update du 08/07/2011
Fichier d'export Registre : 
Run by Lily at 11/07/2011 18:38:23
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}
SUPPRIME Key: HKCU\Software\AppDataLow\Software\GameRaving Toolbar

========== Valeur(s) du Registre ==========
SUPPRIME Toolbar: {98889811-442D-49dd-99D7-DC866BE87DBC}
SUPPRIME RunValue: BabylonToolbar

========== Fichier(s) ==========
ABSENT File: c:\program files\babylontoolbar\babylontoolbar\1.4.19.19\babylontoolbarsrv.exe


========== Récapitulatif ==========
2 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Fichier(s)


========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt



End of the scan in 00mn 00s

Utilisateur anonyme · Answer

Re,

As tu des soucis ?

korriban69 · Answer

non plus de souci que ce soit alerte virus, disque dur ou mémoire  :)

Utilisateur anonyme · Answer

Re,

Pour finir :

1/   

IMPORTANT   

Purger les points de restauration système:   

Télécharge OneClick2RestorePoint   

http://www.multifa7.be/Laddy/OneClick2RP.exe   

Mirroirs si non accessible :   
http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe   
https://app.box.com/s/cqcsz5m0oz   

* Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)   
* Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir   
* Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...   
* Rends toi dans l'onglet "Autres options"   
* Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.   
* Les points de restauration système seront purgés sauf le dernier créé.   


Ensuite avec le même outil   
Créer un nouveau point de restauration reconnaissable   

Aide ICI
2/   

Télécharge DelFix  sur  ton  bureau.    
* Lance le, tape suppression puis valide   

Patiente pendant le scan jusqu'à l'ouverture du rapport.   

* Copie/Colle le contenu du rapport dans ta prochaine réponse.   

Note : Le rapport se trouve également sous C:\DelFix.txt   

tu peux le desinstaller   

3/   
Mise à jour Java
* Tu peux vérifier ta Console Java  : 

Installer la nouvelle version si besoin (dans ce cas désinstalle avant l'ancienne version). 

voici pour desinstaller : 

JavaRa 

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. 
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
* Choisis Français puis clique sur Select. 
* Clique sur Recherche de mises à jour. 
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. 
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. 
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. 
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. 
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. 
* Ferme l'application. 

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. 
4/
Télécharge et installe :   

CCleaner version Slim   

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis   

Avancé et décoche la case Effacer uniquement les fichiers etc....   

* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.   

* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare   

toutes les erreurs tant de fois qu il en trouve a l analyse .   

**************** Aide ICI ******************   

Tu peux utiliser Ccleaner une fois par semaine   

5/   

Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour   

Fais la mise à jour surtout d'adobe reader 



6/   

Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.   

7/   

Je te conseille d'utiliser le navigateur Firefox et d'installer les modules   

complémentaires WOT pour t'indiquer les fichiers douteux et Adblock plus pour bloquer les publicités...  
 8/ 
Un peu de lecture : 
* Les dangers du Peer-To-Peer, Emule etc..  
* Comment Sécuriser son ordinateur... 


J'attend les rapports ...

korriban69 · Answer

voici le rapport delfix :

# DelFix v8.1 - Rapport créé le 11/07/2011 à 19:34
# Mis à jour le 20/06/11 à 19h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
# Nom d'utilisateur : Lily - PC-DE-LILY (Administrateur)
# Exécuté depuis : F:\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Users\Lily\Desktop\RK_Quarantine
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\Ad-Report-SCAN[1].txt
Supprimé : C:\Ad-Report-SCAN[2].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\ZHPExportRegistry-07-11-2010-15-08-57.txt
Supprimé : C:\ZHPExportRegistry-10-07-2011-19-04-54.txt
Supprimé : C:\ZHPExportRegistry-11-07-2011-18-38-23.txt
Supprimé : C:\Users\Lily\Desktop\AD-R.lnk
Supprimé : C:\Users\Lily\Desktop\RKreport[1].txt
Supprimé : C:\Users\Lily\Desktop\RKreport[2].txt
Supprimé : C:\Users\Lily\Desktop\RKreport[3].txt
Supprimé : C:\Users\Lily\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Lily\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Lily\Downloads\ZHPDiag.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1770 octets] ##########

pour le rapport java je n'en ai pas :/ j'ai suivi ta manip, il 'a supprimé une ancienne version mais aucun rapport ne s'est affiché ni crée... j'ai refais plusieurs fois la manip mais rien...

korriban69 · Answer

c'est bien cette version oui ! et il n'y a pas de version inférieure.

Utilisateur anonyme · Answer

Bonjour,

Bon surf et si tu n'as pas de souci pense à mettre ton sujet comme résolu

korriban69 · Answer

plus de souci ! merci beaucoup encore une fois ! merci bon surf !

Virus tr crypt.xpack.gen3

27 réponses

Discussions similaires