SVP aide pour infection windows XP FIX

Fermé
freakyflo - Modifié par freakyflo le 13/07/2011 à 17:47
 freakydot - 23 mars 2014 à 17:15
Bonjour,

Je veux dépanner un pc qui est infecté par windows XP FIX.
Comme indiqué dans un autre sujet, j'ai téléchargé puis éxécuté Rogue killer.
Voici le rapport. J'aimerais si c'est possible apprendre à lire et à interpréter les rapports (hijack ZHP diag etc...) j'ai déjà dépanné mon pc avec l'aide d'internautes de ce forum et si je pouvais devenir autonome voire aider à l'avenir ça serait cool... donc si c'est possible d'expliquer la méthode merci.


Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: xxxxxxxx [Droits d'admin]

Mode: Recherche -- Date : 13/07/2011 17:26:08

Processus malicieux: 3

[SUSP PATH] czpmc.exe -- c:\documents and settings\xxxxxxxx\local settings\application data\czpmc.exe -> KILLED

[SUSP PATH] WypEHgfIKaPhdv.exe -- c:\documents and settings\all users\application data\wypehgfikaphdv.exe -> KILLED

[ROGUE ST] 18800420.exe -- c:\documents and settings\all users\application data\18800420.exe -> KILLED

Entrees de registre: 12

[SUSP PATH] HKCU\[...]\Run : czpmc ("c:\documents and settings\xxxxxxxx\local settings\application data\czpmc.exe" czpmc) -> FOUND

[SUSP PATH] HKCU\[...]\Run : WypEHgfIKaPhdv (C:\Documents and Settings\All Users\Application Data\WypEHgfIKaPhdv.exe) -> FOUND

[SUSP PATH] HKUS\S-1-5-21-3197956685-2806788064-4108669220-1005[...]\Run : czpmc ("c:\documents and settings\xxxxxxxxx\local settings\application data\czpmc.exe" czpmc) -> FOUND

[SUSP PATH] HKUS\S-1-5-21-3197956685-2806788064-4108669220-1005[...]\Run : WypEHgfIKaPhdv (C:\Documents and Settings\All Users\Application Data\WypEHgfIKaPhdv.exe) -> FOUND

[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> FOUND
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> FOUND
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> FOUND
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND



Fichier HOSTS:


127.0.0.1 localhost
127.0.0.1 3dns.adobe.com
127.0.0.1 3dns-1.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-4.adobe.com
127.0.0.1 activate.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 activate.wip.adobe.com
127.0.0.1 activate.wip1.adobe.com
127.0.0.1 activate.wip2.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 activate.wip4.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-1.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 adobe-dns-4.adobe.com
127.0.0.1 crl.verisign.net

[...]


Termine : << RKreport[1].txt >>

RKreport[1].txt

A voir également:

68 réponses

desinstalle adobe reader

==============

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13
[2007/05/02 13:26:27 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}
[2009/05/26 19:31:05 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
O4 - HKLM\..\Run: [] File not found
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] File not found
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] File not found
O4 - Startup: C:\Documents and Settings\xxxxxxxxxxxxx\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk = File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found
O33 - MountPoints2\{de74d27e-e8ca-11dd-b89a-001636b3aeb1}\Shell\AutoRun\command - "" = nideiect.com => Infection Diverse
O33 - MountPoints2\{de74d27e-e8ca-11dd-b89a-001636b3aeb1}\Shell\explore\Command - "" = nideiect.com => Infection Diverse
O33 - MountPoints2\{de74d27e-e8ca-11dd-b89a-001636b3aeb1}\Shell\open\Command - "" = nideiect.com => Infection Diverse

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"nwiz"=-
"QuickTime Task"=-

:Files
G:\ACROBAT\BROWSER
C:\Documents and Settings\xxxxxxxxxxxxx\Bureau\malwarebytes-anti-malware_malwarebytes_anti-malware_1.51.0.1200_francais_215092.exe
C:\Documents and Settings\xxxxxxxxxxxxx\Menu Démarrer\Programmes\Windows XP Fix
C:\WINDOWS\jestertb.dll

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]



▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.


¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
voilà les rapports :

otl : http://www.cijoint.fr/cjlink.php?file=cj201107/cijHRooVwK.txt
extras : http://www.cijoint.fr/cjlink.php?file=cj201107/cijUCnOeYt.txt

merci encore
0
euh je lis à la fin de ton script : "[CLEARALLRESTOREPOINTS]"
je suppose que cela va effacer les points de restaurations du pc ? est ce que c'est obligatoire pour l'opération ?
0
Salut,

voilà le rapport OTL : http://www.cijoint.fr/cjlink.php?file=cj201107/cijIR4JKnQ.txt

une question : a quoi correspondent les fichiers ayant pour nom de grandes suites de chiffres et de lettres du genre {de74d27e-e8ca-11dd-b89a-001636b3aeb1} ?
merci passe un bon week end à lundi !
0
Utilisateur anonyme
23 juil. 2011 à 04:28
le rapport n'est pas complet
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Salut,

J'ai posté le rapoort qui à été crée au redémarrage...
tu veux que je recommence la correction avec le script ?
0
Salut,
pourrais tu me dire la marche à suivre s'il te plait ?
0
Utilisateur anonyme
25 juil. 2011 à 18:48
hello tu es sur que le rapport finissait comme ca ?
0
Salut,
j'ai vérifié, et il fini bien comme ça. Est-ce que ça pourrais être a cause du fait que je remplace les xxxxxxxx par le nom de la personne ? Ce qui aurait modifié le script ? Je peux recommencer si tu veux.
0
Utilisateur anonyme
26 juil. 2011 à 18:33
▶ Télécharge ici : USBFIX sur ton bureau

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

▶ choisi l option Suppression

▶ UsbFix scannera ton pc , laisse travailler l outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

0
Hey :)
apparemment positif !
voici le rapport : http://www.cijoint.fr/cjlink.php?file=cj201107/cijtdWjRXW.txt

je pense que je ferai le scan sur mes lecteurs aussi ça ne fera pas de mal !!
0
Utilisateur anonyme
26 juil. 2011 à 21:34
Firewall: Norton Internet Worm Protection 2006

c'est quoi ca ?
0
euh bonne question ! sur les forum il y a un sujet similaire : http://www.commentcamarche.net/forum/affich-2304404-norton-internet-worm-protection

il y a bien un dossier c:\programmes files\synmatec mais rien à l'intérieur...
rien dans le firewall windows...

autre chose que je viens de noter : dans les exceptions du pare feu, il y a des programmes ou services cochés dont le chemin d'accès ne correspond a rien dans l'arborecence comme si les fichiers n'existaient pas... si ça peut te renseigner...
0
Utilisateur anonyme
26 juil. 2011 à 21:59
supprime les deux rapports d'OTL , puis refais un scan et poste les deux rapports
0
voilà, c'est indiqué run 3 parce que j'avais pas mis la bonne config ...
otl : http://www.cijoint.fr/cjlink.php?file=cj201107/cij9DSdrTm.txt
extra : http://www.cijoint.fr/cjlink.php?file=cj201107/cijdZi00xB.txt
0
Utilisateur anonyme
26 juil. 2011 à 22:48
Télécharge SEAF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape jatmlano

dans cette fenêtre

confirme la recherche "aussi" dans le registre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.
0
Salut, je ne pouvait pas poster sur le sujet à cause de la maintenance du site puis de probleme de conexion. Bref :
j'ai refais l'analyse seaf et le rapport d'aujourd'hui est différent de celui d'il y a 2 jours ( qui comptaient ~40 lignes). Je ne peux pas retrouver l'ancien rapport.
voilà le rapport d'aujourd'hui.

1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 15:40:46 le 28/07/2011
4.
5. Valeur(s) recherchée(s):
6. jatmlamo
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19. Aucun élément dans le registre trouvé
20.
21. =========================
22.
23. Fin à: 15:47:29 le 28/07/2011
24. 363624 Éléments analysés
25.
26. =========================
27. E.O.F
0
Utilisateur anonyme
28 juil. 2011 à 19:42
le rapport est dans C:\
0
Salut,
Désolé pour les quelques jours sans nouvelles.
Je ne retrouve pas le tout premier rapport. Je supose que le dernier rapport effectué ecrase le précédent ...
voici le rapport d'aujourd'hui:
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 22:42:28 le 01/08/2011
4.
5. Valeur(s) recherchée(s):
6. jatmlano
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19.
20. [HKLM\System\ControlSet001\Enum\Root\LEGACY_JATMLANO]
21. DA: 01/08/2011 22:33:43
22.
23. [HKLM\System\ControlSet001\Services\jatmlano]
24. DA: 01/08/2011 22:32:52
25.
26. [HKLM\System\ControlSet003\Enum\Root\LEGACY_JATMLANO]
27. DA: 01/08/2011 22:33:43
28.
29. [HKLM\System\ControlSet003\Services\jatmlano]
30. DA: 01/08/2011 22:32:52
31.
32. [HKLM\System\CurrentControlSet\Enum\Root\LEGACY_JATMLANO]
33. DA: 01/08/2011 22:33:43
34.
35. [HKLM\System\CurrentControlSet\Services\jatmlano]
36. DA: 01/08/2011 22:32:52
37.
38. =========================
39.
40. Fin à: 22:47:47 le 01/08/2011
41. 363637 Éléments analysés
42.
43. =========================
44. E.O.F
0
hello

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:Services
JATMLANO

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]



▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
salut !

voici le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201108/cijHBcVrpx.txt

observations :
- je n'ai plus besoin mettre "afiicher les dossiers caché" pour voir le contenu de l'arborescence
- la barre de lancement rapide est toujours invisible ou bloquée
- j'ai toujours le lancement de l'instalation de acrobat reader X quand je fais clic droit sur un icone du bureau (n'importe lequel)

merci pour ton aide
0