personal shield pro Résolu

Question

Bonjour, 

comme beaucoup , apparement , mon PC est infecté depuis hier par personal shield pro !

j'ai lu pas mal de sujets ici parlant de cette infection , et ai essayé de me dépanner , sans succés !

je l'ai stoppé avec roguekiller5 comme indiqué , mais ZHPDiag "bute" sur le dossier "driver" dans windows/system32/drivers , impossible de continuer le scan !

mon antivirus (avast) refuse de scanner , et bute lui aussi sur ce dossier "drivers" !

merci a vous pour toute l'aide que vous saurez m'apporter !



Configuration: Windows XP / Internet Explorer 7.0

totoff 74410 · Answer

va voir la fin du topic
https://forums.commentcamarche.net/forum/affich-22724031-suppression-fichier-sys-impossible

tofccm · Answer

j'ai installé OTL comme dis a la fin du topic que tu cite , mais il plante aussi , sur le driver nommé "hohxcweb.sys" toujours le méme !

tofccm · Answer

ça ne fonctionne pas , l'antivirus plante aussi , AVG comme avast !

pas moyen de mettre "hohxcweb.sys" en quarantaine !

HELP !

rapport roguekiller5=>

RogueKiller V5.2.7 [30/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: TOF [Droits d'admin]
Mode: Suppression -- Date : 03/08/2011 22:04:01

Processus malicieux: 0

Entrees de registre: 4
[SUSP PATH] HKCU\[...]\Run : sqoXnmCuXYw (C:\Documents and Settings\All Users\Application Data\sqoXnmCuXYw.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Run : SMSERIAL (C:\WINDOWS\sm56hlpr.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

Fichier HOSTS:
127.0.0.1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

au cas ou ça pourrait servir !

tofccm · Answer

l'astuce de totoff 74410 ne fonctionne pas , personne pour m'aider ? 

HELP !

totoff 74410 · Answer

Je sais pas si ca peut t'aider, mais mon PC était relativement propre . Pas de traces visibles détectées par les antivirus Panda, Avast, Kaspersky( KRD).
Eset Nod 32 en scan en ligne m'en a trouvé. Derrière, j'ai installé AVG, ca a fonctionné.
Malwarebytes a plus ou moins controlé l'infection puisqu'il rejetait les requètes IP sortantes et mettait en quarantaine les divers Ttrojans. Sauf que de temps à autre, c'est consigné dans les logs, il  autorisait les trojans, sans aucune action de ma part.
Pas simple en tout cas, ca à l'air de fonctionner normalement depuis cet aprem

tofccm · Answer

j'ai installé AVG , mais comme avast il bute sur mon fichier "hohxc.sys" dans le dossier drivers !

et impossible de le mettre en quarantaine , comme avec avast !

on n'as pas le méme probléme apparement , merci quand méme ! ;)

tofccm · Answer

j'ai reussi a scanner les drivers , en mode selectif , et scan au démarrage , rien n'est infecté ! 

je change de rubrique , mon probléme n'ayant plus rien a voir avec virus/sécurité !

g3n-h@ckm@n · Answer

salut deja tu as deux antivirus d'installés donc conflit + plantages

ensuite pourrais-tu fournir les rapports que tu as eu ?

g3n-h@ckm@n · Answer

&#9654 Télécharge Reload_TDSSKiller

&#9654 Lance le 

choisis : lancer le nettoyage

l'outil va automatiquement télécharger la derniere version puis 

TDSSKiller va s'ouvrir , clique sur "Start Scan"

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

tofccm · Answer

il as stoppé lui aussi sur "hohxcweb.sys" ! 

le rapport : 

TDSS rootkit removing tool 2.5.13.0 Jul 29 2011 17:24:11 
2011/08/04 12:28:50.0750 3560 ================================================================================ 
2011/08/04 12:28:50.0750 3560 SystemInfo: 
2011/08/04 12:28:50.0750 3560  
2011/08/04 12:28:50.0750 3560 OS Version: 5.1.2600 ServicePack: 3.0 
2011/08/04 12:28:50.0750 3560 Product type: Workstation 
2011/08/04 12:28:50.0750 3560 ComputerName: SN012345678912 
2011/08/04 12:28:50.0750 3560 UserName: TOF 
2011/08/04 12:28:50.0750 3560 Windows directory: C:\WINDOWS 
2011/08/04 12:28:50.0750 3560 System windows directory: C:\WINDOWS 
2011/08/04 12:28:50.0750 3560 Processor architecture: Intel x86 
2011/08/04 12:28:50.0750 3560 Number of processors: 2 
2011/08/04 12:28:50.0750 3560 Page size: 0x1000 
2011/08/04 12:28:50.0750 3560 Boot type: Normal boot 
2011/08/04 12:28:50.0750 3560 ================================================================================ 
2011/08/04 12:28:52.0078 3560 Initialize success 
2011/08/04 12:29:04.0609 0476 ================================================================================ 
2011/08/04 12:29:04.0609 0476 Scan started 
2011/08/04 12:29:04.0609 0476 Mode: Manual;  
2011/08/04 12:29:04.0609 0476 ================================================================================ 
2011/08/04 12:29:04.0890 0476 Aavmker4        (dfcdd5936cad0138775d5a105d4c7716) C:\WINDOWS\system32\drivers\Aavmker4.sys 
2011/08/04 12:29:05.0046 0476 abp480n5        (6abb91494fe6c59089b9336452ab2ea3) C:\WINDOWS\system32\DRIVERS\ABP480N5.SYS 
2011/08/04 12:29:05.0125 0476 ACPI            (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys 
2011/08/04 12:29:05.0171 0476 ACPIEC          (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys 
2011/08/04 12:29:05.0281 0476 ADIHdAudAddService (be1423364bb05a6b1751a1e9515e6cac) C:\WINDOWS\system32\drivers\ADIHdAud.sys 
2011/08/04 12:29:05.0375 0476 adpu160m        (9a11864873da202c996558b2106b0bbc) C:\WINDOWS\system32\DRIVERS\adpu160m.sys 
2011/08/04 12:29:05.0500 0476 AFD             (355556d9e580915118cd7ef736653a89) C:\WINDOWS\System32\drivers\afd.sys 
2011/08/04 12:29:05.0562 0476 agp440          (08fd04aa961bdc77fb983f328334e3d7) C:\WINDOWS\system32\DRIVERS\agp440.sys 
2011/08/04 12:29:05.0656 0476 agpCPQ          (03a7e0922acfe1b07d5db2eeb0773063) C:\WINDOWS\system32\DRIVERS\agpCPQ.sys 
2011/08/04 12:29:05.0750 0476 Aha154x         (c23ea9b5f46c7f7910db3eab648ff013) C:\WINDOWS\system32\DRIVERS\aha154x.sys 
2011/08/04 12:29:05.0828 0476 aic78u2         (19dd0fb48b0c18892f70e2e7d61a1529) C:\WINDOWS\system32\DRIVERS\aic78u2.sys 
2011/08/04 12:29:05.0906 0476 aic78xx         (b7fe594a7468aa0132deb03fb8e34326) C:\WINDOWS\system32\DRIVERS\aic78xx.sys 
2011/08/04 12:29:05.0968 0476 AliIde          (1140ab9938809700b46bb88e46d72a96) C:\WINDOWS\system32\DRIVERS\aliide.sys 
2011/08/04 12:29:06.0062 0476 alim1541        (cb08aed0de2dd889a8a820cd8082d83c) C:\WINDOWS\system32\DRIVERS\alim1541.sys 
2011/08/04 12:29:06.0156 0476 amdagp          (95b4fb835e28aa1336ceeb07fd5b9398) C:\WINDOWS\system32\DRIVERS\amdagp.sys 
2011/08/04 12:29:06.0203 0476 amsint          (79f5add8d24bd6893f2903a3e2f3fad6) C:\WINDOWS\system32\DRIVERS\amsint.sys 
2011/08/04 12:29:06.0281 0476 Arp1394         (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys 
2011/08/04 12:29:06.0359 0476 asc             (62d318e9a0c8fc9b780008e724283707) C:\WINDOWS\system32\DRIVERS\asc.sys 
2011/08/04 12:29:06.0375 0476 asc3350p        (69eb0cc7714b32896ccbfd5edcbea447) C:\WINDOWS\system32\DRIVERS\asc3350p.sys 
2011/08/04 12:29:06.0437 0476 asc3550         (5d8de112aa0254b907861e9e9c31d597) C:\WINDOWS\system32\DRIVERS\asc3550.sys 
2011/08/04 12:29:06.0531 0476 aswFsBlk        (861cb512e4e850e87dd2316f88d69330) C:\WINDOWS\system32\drivers\aswFsBlk.sys 
2011/08/04 12:29:06.0671 0476 aswMon2         (7857e0b4c817f69ff463eea2c63e56f9) C:\WINDOWS\system32\drivers\aswMon2.sys 
2011/08/04 12:29:06.0750 0476 aswRdr          (8db043bf96bb6d334e5b4888e709e1c7) C:\WINDOWS\system32\drivers\aswRdr.sys 
2011/08/04 12:29:06.0906 0476 aswSnx          (17230708a2028cd995656df455f2e303) C:\WINDOWS\system32\drivers\aswSnx.sys 
2011/08/04 12:29:07.0031 0476 aswSP           (dbedd9d43b00630966ef05d2d8d04cee) C:\WINDOWS\system32\drivers\aswSP.sys 
2011/08/04 12:29:07.0140 0476 aswTdi          (984cfce2168286c2511695c2f9621475) C:\WINDOWS\system32\drivers\aswTdi.sys 
2011/08/04 12:29:07.0250 0476 atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys 
2011/08/04 12:29:07.0390 0476 audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys 
2011/08/04 12:29:07.0468 0476 Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys 
2011/08/04 12:29:07.0578 0476 BlueletAudio    (31ff5b87c1dd907613cc613224b8e303) C:\WINDOWS\system32\DRIVERS\blueletaudio.sys 
2011/08/04 12:29:07.0703 0476 BTHidEnum       (0448968ba21acde511c19f3c0296e23b) C:\WINDOWS\system32\DRIVERS\vbtenum.sys 
2011/08/04 12:29:07.0796 0476 BTHidMgr        (f408264f6ad1dc7e7bdd4837440f115d) C:\WINDOWS\system32\Drivers\BTHidMgr.sys 
2011/08/04 12:29:07.0859 0476 cbidf           (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\DRIVERS\cbidf2k.sys 
2011/08/04 12:29:07.0953 0476 cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys 
2011/08/04 12:29:08.0015 0476 cd20xrnt        (f3ec03299634490e97bbce94cd2954c7) C:\WINDOWS\system32\DRIVERS\cd20xrnt.sys 
2011/08/04 12:29:08.0078 0476 Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys 
2011/08/04 12:29:08.0171 0476 Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys 
2011/08/04 12:29:08.0265 0476 CmBatt          (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys 
2011/08/04 12:29:08.0312 0476 CmdIde          (e3726ad522d0bdae090671048c991ab3) C:\WINDOWS\system32\DRIVERS\cmdide.sys 
2011/08/04 12:29:08.0375 0476 Compbatt        (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys 
2011/08/04 12:29:08.0453 0476 Cpqarray        (3ee529119eed34cd212a215e8c40d4b6) C:\WINDOWS\system32\DRIVERS\cpqarray.sys 
2011/08/04 12:29:08.0515 0476 dac2w2k         (e550e7418984b65a78299d248f0a7f36) C:\WINDOWS\system32\DRIVERS\dac2w2k.sys 
2011/08/04 12:29:08.0578 0476 dac960nt        (683789caa3864eb46125ae86ff677d34) C:\WINDOWS\system32\DRIVERS\dac960nt.sys 
2011/08/04 12:29:08.0703 0476 Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys 
2011/08/04 12:29:08.0812 0476 dmboot          (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys 
2011/08/04 12:29:08.0921 0476 dmio            (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys 
2011/08/04 12:29:09.0000 0476 dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys 
2011/08/04 12:29:09.0093 0476 dpti2o          (40f3b93b4e5b0126f2f5c0a7a5e22660) C:\WINDOWS\system32\DRIVERS\dpti2o.sys 
2011/08/04 12:29:09.0265 0476 Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys 
2011/08/04 12:29:09.0343 0476 Fips            (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys 
2011/08/04 12:29:09.0437 0476 FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys 
2011/08/04 12:29:09.0531 0476 fssfltr         (c6ee3a87fe609d3e1db9dbd072a248de) C:\WINDOWS\system32\DRIVERS\fssfltr_tdi.sys 
2011/08/04 12:29:09.0671 0476 Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys 
2011/08/04 12:29:09.0750 0476 Ftdisk          (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys 
2011/08/04 12:29:09.0843 0476 Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys 
2011/08/04 12:29:09.0984 0476 HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys 
2011/08/04 12:29:10.0109 0476 HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys 
2011/08/04 12:29:10.0203 0476 hohxcweb        (30840962969ad1fc9c89c0de47ed3ae0) C:\WINDOWS\system32\drivers\hohxcweb.sys 
2011/08/04 12:30:17.0812 0564 Deinitialize success 




je suis en demarrage normal , faut-il le faire en mode sans echec ?

TDSS killer est maintenant dans la liste des processus , et impossible de l'arreter !

tofccm · Answer

UP !

juju666 · Answer

hello pour avancer

Avertissement: Il y aura une courte extinction du bureau pendant que l''outil travaillera --> pas de panique. 

désactive ton antivirus
désactive Windows defender si présent
désactive ton pare-feu 

Télécharge Pre_scan (de gen-hackman)

&#9830 Enregistre le sur ton bureau  
s'il n'est pas sur ton bureau coupe-le de ton dossier téléchargements et colle-le sur ton bureau 

&#9654 Exécute Pre_scan. Si l'outil détecte un proxy  et que tu n''en as pas installé  clique sur "supprimer le proxy"

&#9654 Une fois qu'il aura fini, un rapport s'ouvrira. 

&#9830 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier Pre_Scan.txt qui se trouve sur ton bureau (une copie est aussi à la racine : C:\Pre_Scan.txt)

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

tofccm · Answer

bonjour ,  

non , je ne suis pas super pressé , mais je ne sais pas comment vous gérez les sujets , et je le voyait sombrer dans les abysses du forum !  

vraiment merci a vous deux de gérer mon cas !   

alors le rapport Pre_scan =>  http://www.cijoint.fr/cjlink.php?file=cj201108/cijRpNbPuq.txt  

j'ai désactivé avast et le pare-feu windows , et j'avais désinstallé windows defender hier !   

Pre_scan m'as trouvé un proxy au demarrage du logiciel , que j'ai supprimé !

g3n-h@ckm@n · Answer

desinstalle daemon tools toolbar
desinstalle spybot
desinstalle Adobe Reader 7.0.9 


====================================

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

ouvre Pre_script et colle ce qui suit en gras,  à l'interieur du texte qui s'ouvre , 
sans les lignes , en une seule fois en le mettant en surbrillance  :
___________________________________________________
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=-
"PHIME2002ASync"=-
"PHIME2002A"=-
"nwiz"=-
"ISUSPM Startup"=-
"ISUSScheduler"=-
"QuickTime Task"=-
[-HKEY_CLASSES_ROOT\CLSID\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{BCF81A72-6E39-3B7A-9E07-55E2D1961184}] 
[-HKEY_CURRENT_USER\Software\Dynamic Toolbar]
[-HKEY_CURRENT_USER\Software\Grand Virtual] 
[-HKEY_LOCAL_MACHINE\Software\Viewpoint] 
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]  
"1900:UDP"=-
"2869:TCP"=-
"139:TCP"=-
"445:TCP"=-
"137:UDP"=-
"138:UDP"=-

file::
C:\Documents and Settings\TOF\Application Data\avdrn.dat    
C:\Documents and Settings\All Users\Application Data\common.data      

folder::
C:\Documents and Settings\All Users\Application Data\aC02300FbFfA02300    
C:\Documents and Settings\All Users\Application Data\aM02300JeOhI02300      
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy    
C:\Documents and Settings\All Users\Application Data\Viewpoint    
C:\Program Files\DAEMON Tools Toolbar    
C:\Program Files\Spybot - Search & Destroy    
C:\Program Files\Viewpoint    

attrib::          
___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier)

 puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

tofccm · Answer

j'ai desinstallé adobe et spybot , mais impossible de trouver daemon tools !

je lance quand méme Pre_script ?

g3n-h@ckm@n · Answer

oui

tofccm · Answer

bon , ça as été long , personal shield pro as refait son apparition pendant le processus !  

je l'ai stoppé avec roguekiller5 option 2 , mais il est encore la apparement ! 

le rapport Pre_script => http://www.cijoint.fr/cjlink.php?file=cj201108/cijg0TfvkW.txt

dois-je recommencer cette procédure => http://www.commentcamarche.net/faq/32202-desinstaller-personal-shield-pro-rogue pour annihiler personal shield pro ?

tofccm · Answer

j'ai essayé la procedure pour eradiquer personal shield pro !

rapport roguekiller option 2 =>

RogueKiller V5.2.7 [30/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: TOF [Droits d'admin]
Mode: Suppression -- Date : 05/08/2011 17:38:18

Processus malicieux: 1
[SUSP PATH] gF02300PeDdN02300.exe -- c:\documents and settings\all users\application data\gf02300peddn02300\gf02300peddn02300.exe -> KILLED

Entrees de registre: 1
[SUSP PATH] HKCU\[...]\RunOnce : gF02300PeDdN02300 (C:\Documents and Settings\All Users\Application Data\gF02300PeDdN02300\gF02300PeDdN02300.exe) -> DELETED

Fichier HOSTS:
127.0.0.1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt
------------------------------------------------------------------

j'ai ensuite lancé malwarebyte's , qui as planté sur le dossier windows/system32/drivers , comme tous les autres logiciels utilisés !

avast refuse de faire un scan (bloqué) , et impossible de lancer une défragmentation aussi !

le processus de malwarebyte's est bloqué , impossible de terminer le processus , et de relancer une analyse (il m'as trouvé 6 fichiers infectés) , je vais donc redemarrer le PC , et relancer une analyse en excluant le fichier windows/system32/drivers , pour pouvoir eradiquer les fichiers infectés !

tofccm · Answer

voila , j'ai reussi a scanner avec malwarebyte's , et supprimer les fichiers infectés ! malwarebyte's m'as demandé de redemarrer le PC pour finaliser , ce que j'ai fait !

le rapport =>

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7387

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05/08/2011 20:13:11
mbam-log-2011-08-05 (20-12-58).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 174168
Temps écoulé: 5 minute(s), 45 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\WINDOWS\system32
tsdhare.dll (Trojan.Clicker) -> No action taken.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} (Adware.2020search) -> Value: {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} (Adware.2020search) -> Value: {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} (Adware.2020search) -> Value: {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} (Adware.2020search) -> Value: {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\system32
tsdhare.dll (Trojan.Clicker) -> No action taken.
c:\documents and settings\all users\application data\common.data (Malware.Trace) -> No action taken.
c:\documents and settings\TOF\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
--------------------------------------------------------------------

j'ai effectué un deuxieme scan , pour étre sur , et il me trouve encore quelque chose !

2eme rapport =>

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7387

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05/08/2011 20:29:40
mbam-log-2011-08-05 (20-29-33).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 174038
Temps écoulé: 6 minute(s), 16 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\all users\application data\common.data (Malware.Trace) -> No action taken.
-----------------------------------------------

j'ai scanné c:\documents and settings\all users\application data avec avast , qui ne trouve rien !

comment faire pour supprimer ce virus ?

g3n-h@ckm@n · Answer

pourquoi il n'est pas entier le rapport pre_script ?

tofccm · Answer

rapport pre_script =>

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 1.0.2.55 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Mise à jour : 25/07/2011 | 17.30 Par g3n-h@ckm@n
Utilisateur : TOF (Administrateurs)
Ordinateur : SN012345678912
Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 8.0.6001.18702
Mozilla Firefox : 5.0.1 (fr)

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command:: 
attrib:: | txt:: | Host:: | NsLook::
list:: | IP::

Script : 23:54:51

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuéé

¤

Absent : C:\Documents and Settings\TOF\Application Data\avdrn.dat 
Absent : C:\Documents and Settings\All Users\Application Data\common.data 

¤

Absent : C:\Documents and Settings\All Users\Application Data\aC02300FbFfA02300 
Absent : C:\Documents and Settings\All Users\Application Data\aM02300JeOhI02300 
Absent : C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 
Absent : C:\Documents and Settings\All Users\Application Data\Viewpoint 
Absent : C:\Program Files\DAEMON Tools Toolbar 
Absent : C:\Program Files\Spybot - Search & Destroy 
Absent : C:\Program Files\Viewpoint 

¤

Disques externes : 0 Objets réattribués
Disque Local : 13 Objets réattribués
Utilisateurs : 0 Objets réattribués
ProgramFiles : 28 Objets réattribués
Music : 0 Objets réattribués
Pictures : 0 Objets réattribués
Videos : 0 Objets réattribués
Downloads : 0 Objets réattribués
Desktop : 0 Objets réattribués
Links : 0 Objets réattribués
Searches : 0 Objets réattribués
Contacts : 0 Objets réattribués
Saved Games : 0 Objets réattribués
Favorites : 0 Objets réattribués
Documents : 0 Objets réattribués
Windows : 70 Objets réattribués
StartMenu : 0 Objets réattribués
Librairies : 0 Objets réattribués
Quick Launch : 0 Objets réattribués
%AppData% : 2124 Objets réattribués

¤

Fin : 00:04:57

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

tu l'as refait ?

g3n-h@ckm@n · Answer

refais tdsskiller

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

g3n-h@ckm@n · Answer

redemarre le pc et lance combofix

tofccm · Answer

salut ! ;)

alors , j'ai lancé combofix , renommé en christophe.exe , mais il s'arréte a l'etape 2 , et reste figé !

j'ai attendu deux heures , mais aucune activitée ! 

j'ai redémarré le PC , pour ne pas toucher a la souris ni clavier pendant le processus !

au redemarrage , roguekiller5 , renommé en winlogon.exe (comme expliqué dans la procédure de desinfection pour personal shield pro) , as disparu du poste de travail !

et j'ai un nouveau dossier nommé christophe dans la racine C: 

un lien imageshack pour montrer =>

https://imageshack.com/

ai-je fais une erreur ?

tofccm · Answer

la console de récuperation est déja installée sur mon PC , le probléme vient peut-etre de la ?

g3n-h@ckm@n · Answer

salut lance combofix en mode sans echec

tofccm · Answer

avec prise en charge reseau , ou mode sans echec simple ?

je stoppe l'antivirus et le pare-feu pour le lancer ?

tofccm · Answer

alors , j'ai lancé combofix en mode sans echec avec prise en charge reseau , en ayant désactivé avast et le pare feu ! 

rapport combofix => https://www.cjoint.com/?AHirhLvnzOV

il as supprimé pas mal de choses apparement ! 

je t'écoute pour la suite ! ;)

g3n-h@ckm@n · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: Rootkit:: c:\windows\system32\drivers\hohxcweb.sys Folder:: c:\documents and settings\All Users\Application Data\eM02300HpLnF02300 c:\documents and settings\All Users\Application Data\gF02300PeDdN02300 Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"=- Driver:: hohxcweb ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

tofccm · Answer

le rapport => http://www.cijoint.fr/cjlink.php?file=cj201108/cijyYus3fI.txt

par contre , depuis l'infection , la barre des taches avec les icones (avast , son , etc...) démarre trés mal , toutes les icones ne sont pas affichées comme avant ! y-a t'il moyen de corriger tout ça aprés la désinfection ?

g3n-h@ckm@n · Answer

trojan killer , s'il est encore dans ton pc => poubelle 

======================= 

mets malwarebytes à jour , refais un scan complet avec , puis poste le rapport 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

tofccm · Answer

salut ! ;)

trojan killer supprimé ! 

le rapport MBam =>

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7416

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09/08/2011 14:06:13
mbam-log-2011-08-09 (14-06-13).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 265871
Temps écoulé: 53 minute(s), 53 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\qoobox\quarantine\c\documents and settings\all users\application data\bg02300kkocc02300\bg02300kkocc02300.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings	of\bureauk_quarantine\bg02300kkocc02300.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.

g3n-h@ckm@n · Answer

retente un scan OTL il devrait passer maintenant

tofccm · Answer

otl passe ! 

rapport OTL.txt => http://www.cijoint.fr/cjlink.php?file=cj201108/cij54iSanB.txt 

rapport Extras.txt => http://www.cijoint.fr/cjlink.php?file=cj201108/cijljPPxZc.txt

dis moi quand la désinfection sera terminée , j'aurais 2-3 questions a te poser ! ;)

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:Services
Planificateur LiveUpdate automatique
a2free

:OTL
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Program Files\Viewpoint\Viewpoint Experience Technology
pViewpoint.dll File not found
[2007/04/27 16:31:39 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}
[2007/08/29 15:30:20 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}
[2007/11/27 13:44:42 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} 
[2008/03/30 20:11:05 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} 
[2008/08/15 12:47:02 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} 
[2008/11/27 15:45:20 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA} 
[2009/02/11 23:19:52 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}  
[2010/04/13 11:25:10 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} 
[2010/10/31 15:20:28 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} 
[2011/03/04 21:34:19 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}      
O3 - HKLM\..\Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. 
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. 
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present  
O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} http://codecs.microsoft.com/codecs/i386/fhg.CAB (Reg Error: Key error.)  
O16 - DPF: {00000161-0000-0010-8000-00AA00389B71} http://codecs.microsoft.com/codecs/i386/msaudio.cab (Reg Error: Key error.)
O16 - DPF: {0DB074F0-617E-4EE9-912C-2965CF2AA5A4} http://download.microsoft.com/download/0/f/b/0fb0fab9-7f09-4bb6-86d8-8e791ba99ac5/VirtualEarth3D.cab (Reg Error: Key error.)   
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.)  
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab (Reg Error: Key error.)  
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab (Reg Error: Key error.)  
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab (Reg Error: Key error.)  
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Reg Error: Key error.)  
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)  
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found
O34 - HKLM BootExecute: (autocheck autochk /r \??\G:) -  File not found

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-

:Files
C:\WINDOWS\125F5219         
C:\WINDOWS\74D97781      
C:\WINDOWS\462B3D83
C:\WINDOWS\78B99911      
C:\WINDOWS\53FCE379      
C:\WINDOWS\6A9620A0      
C:\WINDOWS\56B177FD  
C:\WINDOWS\0AB48F72  
C:\WINDOWS\2F1E7626      
C:\WINDOWS\4F11EC54      
C:\WINDOWS\494536F5      
@Alternate Data Stream - 105 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:C2E33402      
@Alternate Data Stream - 105 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:C1CCF2C1      

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

tofccm · Answer

le rapport => http://dl.free.fr/getfile.pl?file=/I5Lhb3AZ

cijoint refuse de prendre les fichiers log , j'ai mis du temps a comprendre ! ^^

g3n-h@ckm@n · Answer

nickel encore des soucis ou on fait le grand menage et on vire tout ca ?

tofccm · Answer

a part la barre des taches qui déconne au demarrage , qui met du temps a se lancer et n'affiche pas toutes les icones (a coté de l'horloge) , plus de probléme ! 

on peut faire le grand ménage ! ;)

g3n-h@ckm@n · Answer

ok ca devrait aller mieux apres ca :) Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace _________________________________________________ Telecharge ici : PureRa (par l'editeur de JavaRa) Lance-le (clic droit "executer en tant qu'administrateur" pour Vista/7) => Configuration clique sur "Clean" L'outil va faire son scan puis son nettoyage à la fin du rapport tu auras une ligne comme ca : Total space cleaned: 8140878 bytes transmets juste cette ligne , le reste importe peu __________________________________________________ Si nous avons utilisé Defogger et cliqué sur "disable" , tu peux le "reenable" __________________________________________________ ▶ Télécharge DelFix sur ton bureau. ▶ Lance le, tape suppression puis valide Patiente pendant le scan jusqu'à l'ouverture du rapport. ▶ Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt tu peux le desinstaller ___________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista/7) => Configuration fais le nettoyage dans le registre et dans le nettoyeur autant de fois qu'il trouve des choses à l analyse __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est. desinstalle les anciennes versions : voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Ferme l'application. Note : tu peux supprimer son rapport dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) et pense à decocher l'installation de McAfee proposée discrêtement __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista Lien Win7 ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système à lire aussi Et ceci sujet intéressant à lire : https://www.luanagames.com/index.fr.html il ne faut jamais accepter l'installation de toobars, adwares, moteurs de recherches lorsqu'on installe un logiciel gratuit. Ceux-ci corrompent les navigateurs et dirigent les recherches sur des sites publicitaires, malveillants etc et affichent des pubs intempestives. Il ne faut jamais télécharger le logiciel à partir des pubs sur les pages web, ne jamais cliquer sur les liens genre "boostez votre pc" ou "avant de télécharger le logiciel, faites un balayage rapide blabla", et éviter les sites de vidéos/séries en streaming dont les vidéos sont parfois piégées par des malwares sous la forme de modules complémentaires à installer pour voir la vidéo. ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

tofccm · Answer

purera => Total space cleaned: 45430125 bytes

dellfix => 

# DelFix v8.3 - Rapport créé le 09/08/2011 à 17:34
# Mis à jour le 04/08/11 à 11h par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : TOF - SN012345678912 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\TOF\Bureau\delfix0.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\_OTL
Supprimé : C:\Kill'em
Supprimé : C:\Qoobox
Supprimé : C:	dsskiller
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\TOF\Bureau\RK_Quarantine

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Documents and Settings\TOF\Bureau\christophe.exe <-- Combofix
Supprimé : C:\ComboFix.txt
Supprimé : C:\TDSSKiller.2.5.14.0_06.08.2011_00.41.44_log.txt
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\TOF\defogger_reenable
Supprimé : C:\Documents and Settings\TOF\Bureau\Extras.Txt
Supprimé : C:\Documents and Settings\TOF\Bureau\otl.exe
Supprimé : C:\Documents and Settings\TOF\Bureau\OTL.Txt
Supprimé : C:\Documents and Settings\TOF\Bureau\pre_scan.exe
Supprimé : C:\Documents and Settings\TOF\Bureau\Pre_Scan_05_08_2011_15_49_12.txt
Supprimé : C:\Documents and Settings\TOF\Bureau\Pre_Script.exe
Supprimé : C:\Documents and Settings\TOF\Bureau\Pre_script.txt
Supprimé : C:\Documents and Settings\TOF\Bureaueload_tdsskiller.exe
Supprimé : C:\Documents and Settings\TOF\Bureau\RKreport[1].txt
Supprimé : C:\Documents and Settings\TOF\Bureau\RKreport[2].txt
Supprimé : C:\Documents and Settings\TOF\Bureau\RKreport[3].txt
Supprimé : C:\Documents and Settings\TOF\Bureau\RogueKiller.exe
Supprimé : C:\Documents and Settings\TOF\Bureau\TDSSKiller.2.5.13.0_04.08.2011_12.28.50_log.txt

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\g3n-h@ckm@n
Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
ACL -> [F] & Clé Supprimée : HKLM\SOFTWARE\Swearware

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [2497 octets] ##########


dellfix et ccleaner effectués , je redemarre pour la vérif des erreurs ! ;)

g3n-h@ckm@n · Answer

impec :)

tofccm · Answer

voila , j'ai tout fait , il ne me reste plus qu'a changer de pare feu , j'ai vu que tu avait comodo , j'ai donc opté pour celui-ci ! ;)

il ne me reste plus qu'a te dire un grand merci , sans ton aide j'aurais du formater et reinstaller , mon PC est comme neuf , vraiment merci a toi ! ;)

message de personal shield pro => g3n-h@ckm@n m'a Tuer ! ^^

g3n-h@ckm@n · Answer

lol t'as vu les videos sur youtube toi !

tofccm · Answer

non , lesquelles ?

g3n-h@ckm@n · Answer

je pensais à un commentaire que j'ai laissé sur youtube avec une vidéo :

je sais plus quelle infection : 0 , Pre_Scan : 1

celle-ci :

https://www.youtube.com/watch?v=f7Uy0TzUAts&feature=related

tofccm · Answer

ah ok , mdr ! 

sacré outil que tu as créé la , chapeau bas ! ;)

g3n-h@ckm@n · Answer

:)

Personal shield pro

49 réponses

Discussions similaires

Newsletters