Fichiers infectés

Résolu/Fermé
mk13 Messages postés 6 Date d'inscription vendredi 22 juillet 2011 Statut Membre Dernière intervention 23 juillet 2011 - 23 juil. 2011 à 14:33
 Utilisateur anonyme - 23 juil. 2011 à 19:51
Bonjour,

Lors d'un scan quotidien de mon PC mon antivirus Avast a détecté deux fichiers infectés. Malheureusement je ne sais quelle action entreprendre. Je sais qu'il vaut mieux réparer les fichiers lorsqu'ils sont important ou bien les supprimer lorsqu'ils ne le sont pas. Or dans ce cas, je ne sais pas à quoi correspond ces deux fichiers.

Savez-vous à quoi correspondent ses fichiers? et si ils ont un interet?

Voici ce que Avast indique:

dossier infectés: sévérité haute
...program installation\install_OOo3.0.0Win32IntelinstallenUS.exe|>nsi.hdr

...program installation\install_setupfre.exe|>nsi.hdr

Il indique aussi: Etat
Menace: NSIS:FakeInst-B [Adw]
NSIS:FakeInst-C [Trj]

Merci d'avance
A voir également:

10 réponses

Neox30650 Messages postés 11 Date d'inscription samedi 23 juillet 2011 Statut Membre Dernière intervention 24 juillet 2011 5
23 juil. 2011 à 14:40
Salut :)

Tu sais , Google est ton ami dans ses cas là ;) mais sinon d'après le lien système que tu donne , ce serait un programme d'installation (?). Ce qui serait bien pour nous c'est que tu nous envois le lien système (C:\...) des fichiers et avec un peu de chance nous pourrions répondre plus facilement et clairement :)

Je te dis à très bientôt , Neox
0
Neox30650 Messages postés 11 Date d'inscription samedi 23 juillet 2011 Statut Membre Dernière intervention 24 juillet 2011 5
23 juil. 2011 à 14:45
Voilà j'ai fait quelques recherche sur le sujet et j'en conclus que c'est une extantion par rapport à Linux. Les fichier .hdr sont des fichier Linux ( source : https://forum.zebulon.fr/topic/35504-extension-hdr ).

Voili voila , j'espère t'avoir un peu aider mais je pense que certains te répondront bien mieux que moi ^^

Je te dis à très bientôt un deuxième fois , Neox
0
mk13 Messages postés 6 Date d'inscription vendredi 22 juillet 2011 Statut Membre Dernière intervention 23 juillet 2011
23 juil. 2011 à 14:52
Oui, j'ai entrepris quelques recherches mais elles m'ont plus embrouillés qu'autre chose... :s. Il ressemblent en effet à des programmes d'installation, d'ailleurs sur le net ils disaient que setupfre appartient à Avast mais comme avast indiquait "fake inst" :
NSIS:FakeInst-B [Adw]
NSIS:FakeInst-C [Trj]
Je ne sais plus trop quoi en penser...


Voici les liens complets:

C:\users\nomutilisateur\Documents\Program installation\install_OOo3.0.0Win32IntelinstallenUS.exe|>nsi.hdr

et

C:\users\nomutilisateur\Documents\Program installation\install_setupfre.exe|>nsi.hdr

Voili

J'espère que ça te parle plus car pour moi c'est un peu du chinois!! ^^
0
Neox30650 Messages postés 11 Date d'inscription samedi 23 juillet 2011 Statut Membre Dernière intervention 24 juillet 2011 5
23 juil. 2011 à 14:54
Quel est ton système d'exploitation ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
23 juil. 2011 à 14:55
Salut,

Nous allons effectuer un diagnostic de ton PC:
*Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indisponible:
http://www.cijoint.fr/

* Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html


Hébergement de rapport sur pjjoint.malekal.com

* Rends toi sur http://pjjoint.malekal.com/
* Clique sur le bouton Parcourir
* Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
*Clique sur le bouton Envoyer
* Un message de confirmation s'affiche, copie le lien dans ta prochaine réponse.
0
mk13 Messages postés 6 Date d'inscription vendredi 22 juillet 2011 Statut Membre Dernière intervention 23 juillet 2011
23 juil. 2011 à 15:30
Mon system d'exploitation est windows vista.

Voici le rapport de ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201107/cijgLpFHxj.docx
Je n'ai pas réussi à l'enregistrer donc je t'en ai fait une copie

Qu'est-ce que cela donne?
0
Utilisateur anonyme
23 juil. 2011 à 16:48
Re,

* Télécharge de AD-Remover sur ton Bureau.
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Ferme toutes applications en cours /!\

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « chercher »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c
0
mk13 Messages postés 6 Date d'inscription vendredi 22 juillet 2011 Statut Membre Dernière intervention 23 juillet 2011
23 juil. 2011 à 19:12
Voici le rapport:
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 18:59:10 le 23/07/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
mathilde@PC-DE-MATHILDE (Dell Inc. Studio 1535)

============== RECHERCHE ==============





============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [5.0 (fr)] ****

Plugins\npDivxPlayerPlugin.dll (DivX, Inc)
HKLM_MozillaPlugins\@veoh.com/VeohTVPlugin (x)
HKLM_MozillaPlugins\@veoh.com/VeohWebPlayer (x)
HKLM_MozillaPlugins\@zylom.com/ZylomGamesPlayer (x)
HKLM_MozillaPlugins\Adobe Reader (x)
HKCU_MozillaPlugins\@movenetworks.com/Quantum Media Player (x)
Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)
HKLM_Extensions|{3112ca9c-de6d-4884-a869-9855de68056c} - C:\ProgramData\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}
HKCU_Extensions|web@veoh.com - C:\Program Files\Veoh Networks\VeohWebPlayer\FFVideoFinder

-- C:\Users\mathilde\AppData\Roaming\Mozilla\FireFox\Profiles\lwk8nc5j.default --
Extensions\moveplayer@movenetworks.com (Move Media Player)
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
Prefs.js - browser.download.dir, C:\\Users\\mathilde\\Desktop
Prefs.js - browser.download.lastDir, C:\\Users\\mathilde\\Desktop
Prefs.js - browser.search.defaultenginename, Bing
Prefs.js - browser.search.defaulturl, hxxp://www.bing.com/search?FORM=IEFM1&q=
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.startup.homepage, hxxp://www.google.com/
Prefs.js - browser.startup.homepage_override.buildID, 20110615151330
Prefs.js - browser.startup.homepage_override.mstone, rv:5.0

========================================

**** Internet Explorer Version [7.0.6002.18005] ****

HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E} - "Google Desktop" (hxxp://127.0.0.1:4664/search&s=kDCjF4QBb7sF9Yr_7xIIALZgE4w?q={searchTerms})
HKLM_Toolbar|{0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} (C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll)
HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll)
HKCU_ElevationPolicy\{2E422264-6D8A-4ca0-97C7-A2CF868471EA} - C:\Users\mathilde\AppData\Roaming\Move Networks\ie_bin\MovePlayerUpgrade.exe (?)
HKLM_ElevationPolicy\{442E3CEB-D71B-11DA-8750-001185653D78} - c:\program files\google\googletoolbar1user.exe (x)
HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (Google)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll)
BHO\{CA6319C0-31B7-401E-A518-A07C3DB8F777} - "CBrowserHelperObject Object" (C:\Program Files\Dell\BAE\BAE.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 23/07/2011 18:59:40 (3895 Octet(s))

Fin à: 19:01:00, 23/07/2011

============== E.O.F ==============
0
Utilisateur anonyme
23 juil. 2011 à 19:27
Re,
1/
Lance Ad-remover puis clique sur "désinstaller"

2/
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


[MD5.00000000000000000000000000000000] [APT] [c0ebdec0] (...) -- C:\Users\mathilde\AppData\Local\Temp\setup2664163456.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [PCDoctorBackgroundMonitorTask] (...) -- C:\Program Files\Dell Support Center\uaclauncher.exerunsilently (.not file.)
O43 - CFD: 18/07/2011 - 21:38:40 - [0] ----D- C:\Users\mathilde\AppData\Local\{0AA8087B-BB44-437D-AB38-4B237E6CC117}
O43 - CFD: 18/07/2011 - 21:36:50 - [0] ----D- C:\Users\mathilde\AppData\Local\{3C76E790-27EA-4AD2-9299-6ABD3ECC9CB8}
O43 - CFD: 06/04/2011 - 08:59:40 - [0] ----D- C:\Users\mathilde\AppData\Local\{57AC2C09-8F84-42EE-8EF6-51DB30359E65}
O43 - CFD: 21/06/2011 - 23:25:54 - [0] ----D- C:\Users\mathilde\AppData\Local\{68FD31F3-0A8B-407F-9AF8-BF1BD05C6FA6}
O43 - CFD: 18/07/2011 - 21:37:34 - [0] ----D- C:\Users\mathilde\AppData\Local\{7698AF4A-FC2A-403C-AA9F-3DAF4A90DAF7}
O43 - CFD: 01/05/2011 - 23:54:12 - [0] ----D- C:\Users\mathilde\AppData\Local\{88E35A36-D71A-488C-B950-9DEBA16080F6}
O43 - CFD: 22/06/2011 - 03:19:08 - [0] ----D- C:\Users\mathilde\AppData\Local\{8B085328-FDB0-4DBE-8D3B-8BD5C83D5539}
O43 - CFD: 21/07/2011 - 14:47:52 - [0] ----D- C:\Users\mathilde\AppData\Local\{8BDEB3F5-D834-49EE-B316-5DA627181C6C}
O43 - CFD: 12/07/2011 - 21:35:40 - [0] ----D- C:\Users\mathilde\AppData\Local\{9DD68F76-D178-4BA6-B01E-2C1CFCA984CB}
O43 - CFD: 18/07/2011 - 21:51:52 - [0] ----D- C:\Users\mathilde\AppData\Local\{A139F9AB-F31D-4E47-B3DE-9AF74AF2F080}
O43 - CFD: 18/07/2011 - 21:36:26 - [0] ----D- C:\Users\mathilde\AppData\Local\{B8C91533-92C0-4264-84F1-2C8E599A9DEA}
O43 - CFD: 15/06/2011 - 02:44:58 - [0] ----D- C:\Users\mathilde\AppData\Local\{E07D8863-AA64-4EE3-81C9-DFABA81115BA}
O43 - CFD: 12/04/2011 - 20:01:06 - [0] ----D- C:\Users\mathilde\AppData\Local\{E3F70CE5-EE54-4CD2-8D83-943B0751F197}
O43 - CFD: 18/07/2011 - 21:37:58 - [0] ----D- C:\Users\mathilde\AppData\Local\{F4C1D2D2-6F2D-4A0D-9072-4DF1491B7D06}
[HKLM\Software\Classes\AppID\contenthandler.dll]
[HKLM\Software\Classes\contenthandler.contentselection]
[HKLM\Software\Classes\contenthandler.contentselection.1]
[HKLM\Software\Classes\toolband.easyhidebtn]
[HKLM\Software\Classes\toolband.easyhidebtn.1]
[HKLM\Software\Classes\toolband.skypeiehelper]
[HKLM\Software\Classes\toolband.skypeiehelper.1]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}]


FirewallRAZ
EmptyTemp
EmptyFlash



Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur le bouton GO

Copie/Colle le rapport à l'écran dans ton prochain message.

3/
Lance Malwarebytes pour une analyse complète après avoir effectué la mise à jour puis poste le rapport

@+
0
mk13 Messages postés 6 Date d'inscription vendredi 22 juillet 2011 Statut Membre Dernière intervention 23 juillet 2011
23 juil. 2011 à 19:42
Voici le rapport de ZHPFIX:

Rapport de ZHPFix 1.12.3344 par Nicolas Coolman, Update du 21/07/2011
Fichier d'export Registre : C:\ZHPExportRegistry-23-07-2011-19-39-41.txt
Run by mathilde at 23/07/2011 19:39:41
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Classes\AppID\contenthandler.dll
SUPPRIME Key: HKLM\Software\Classes\contenthandler.contentselection
SUPPRIME Key: HKLM\Software\Classes\contenthandler.contentselection.1
SUPPRIME Key: HKLM\Software\Classes\toolband.easyhidebtn
SUPPRIME Key: HKLM\Software\Classes\toolband.easyhidebtn.1
SUPPRIME Key: HKLM\Software\Classes\toolband.skypeiehelper
SUPPRIME Key: HKLM\Software\Classes\toolband.skypeiehelper.1
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}

========== Valeur(s) du Registre ==========
SUPPRIME FirewallRaz (SP) : C:\Program Files\Orange\IEWInternet\Connectivity\ConnectivityManager.exe
ABSENT Valeur Domain Profile: FirewallRaz :
SUPPRIME FirewallRaz (None) : {2132F534-E9C9-4408-9454-5D607E994867}

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\mathilde\AppData\Local\{0AA8087B-BB44-437D-AB38-4B237E6CC117}
SUPPRIME Folder: C:\Users\mathilde\AppData\Local\{3C76E790-27EA-4AD2-9299-6ABD3ECC9CB8}
SUPPRIME Folder: C:\Users\mathilde\AppData\Local\{57AC2C09-8F84-42EE-8EF6-51DB30359E65}
SUPPRIME Folder: C:\Users\mathilde\AppData\Local\{68FD31F3-0A8B-407F-9AF8-BF1BD05C6FA6}
SUPPRIME Folder: C:\Users\mathilde\AppData\Local\{7698AF4A-FC2A-403C-AA9F-3DAF4A90DAF7}
SUPPRIME Folder: C:\Users\mathilde\AppData\Local\{88E35A36-D71A-488C-B950-9DEBA16080F6}
SUPPRIME Folder: C:\Users\mathilde\AppData\Local\{8B085328-FDB0-4DBE-8D3B-8BD5C83D5539}
SUPPRIME Folder: C:\Users\mathilde\AppData\Local\{8BDEB3F5-D834-49EE-B316-5DA627181C6C}
SUPPRIME Folder: C:\Users\mathilde\AppData\Local\{9DD68F76-D178-4BA6-B01E-2C1CFCA984CB}
SUPPRIME Folder: C:\Users\mathilde\AppData\Local\{A139F9AB-F31D-4E47-B3DE-9AF74AF2F080}
SUPPRIME Folder: C:\Users\mathilde\AppData\Local\{B8C91533-92C0-4264-84F1-2C8E599A9DEA}
SUPPRIME Folder: C:\Users\mathilde\AppData\Local\{E07D8863-AA64-4EE3-81C9-DFABA81115BA}
SUPPRIME Folder: C:\Users\mathilde\AppData\Local\{E3F70CE5-EE54-4CD2-8D83-943B0751F197}
SUPPRIME Folder: C:\Users\mathilde\AppData\Local\{F4C1D2D2-6F2D-4A0D-9072-4DF1491B7D06}
SUPPRIME Temporaires Windows: : 198
SUPPRIME Flash Cookies: 188

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 1380
SUPPRIME Flash Cookies: 99

========== Tache planifiée ==========
SUPPRIME Task: c0ebdec0
SUPPRIME Task: PCDoctorBackgroundMonitorTask


========== Récapitulatif ==========
8 : Clé(s) du Registre
3 : Valeur(s) du Registre
16 : Dossier(s)
2 : Fichier(s)
2 : Tache planifiée


========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt



End of the scan in 00mn 23s


Je lance Malwarebytes! Merci pour ton aide!

Peux tu m'expliquer quels sont ces éléments supprimés? Sont-ils infectés?
0
Utilisateur anonyme
23 juil. 2011 à 19:51
Les éléments supprimées sont des traces d'infections :)
0