Sujet Précédent Sujet Suivant

Virus trojan-bnk.win32.keylogger.gen

titoune -  
afideg Messages postés 10970 Statut Contributeur sécurité -
Bonjour,
Cela fait quelques semaines maintenant que je ne peut plus me servir de mon ordi à cause de ce méchant virus, on m'a proposé de télécharger combofix mais après aucunes solutions pour effacer et nettoyer mon ordi. Je joins le rapport du scan si quelqu'un peut m'aider j'en serais vraiment ravie!!!
ComboFix 11-09-07.02 - élo 07/09/2011 10:39:02.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3068.1475 [GMT 2:00]
Lancé depuis: c:\combofix\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Spyware Doctor *Disabled/Updated* {94076BB2-F3DA-227F-9A1E-F060FF73600F}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\élo\AppData\Local\ccm.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-08-07 au 2011-09-07 ))))))))))))))))))))))))))))))))))))
.
.
2011-09-07 08:52 . 2011-09-07 08:52 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-08-10 20:53 . 2011-08-10 20:53 -------- d-----w- c:\users\élo\AppData\Local\Threat Expert
2011-08-10 20:46 . 2010-01-22 07:55 767952 ----a-w- c:\windows\BDTSupport.dll
2011-08-10 20:46 . 2010-01-22 07:56 149456 ----a-w- c:\windows\SGDetectionTool.dll
2011-08-10 20:46 . 2010-01-22 07:56 165840 ----a-w- c:\windows\PCTBDRes.dll
2011-08-10 20:46 . 2010-01-22 07:56 1652688 ----a-w- c:\windows\PCTBDCore.dll
2011-08-10 20:21 . 2010-02-05 07:18 100136 ----a-w- c:\windows\system32\drivers\pctwfpfilter.sys
2011-08-10 20:21 . 2010-02-05 07:17 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2011-08-10 20:21 . 2010-03-10 09:36 217032 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2011-08-10 20:21 . 2009-11-23 11:54 88040 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2011-08-10 20:21 . 2010-02-05 07:25 70408 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2011-08-10 20:21 . 2011-09-07 08:34 -------- d-----w- c:\program files\Spyware Doctor
2011-08-10 20:21 . 2011-08-10 20:46 -------- d-----w- c:\program files\Common Files\PC Tools
2011-08-10 20:21 . 2011-08-10 20:21 -------- d-----w- c:\users\élo\AppData\Roaming\PC Tools
2011-08-10 20:21 . 2011-08-10 20:21 -------- d-----w- c:\programdata\PC Tools
2011-08-09 20:14 . 2011-07-13 03:39 6881616 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{27A501EB-B937-4919-8566-F7D3166087F4}\mpengine.dll
2011-08-09 20:14 . 2011-06-17 16:03 375808 ----a-w- c:\windows\system32\winsrv.dll
2011-08-09 20:14 . 2011-07-06 15:31 214016 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-02-26 2289664]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"Connexion SFR 9props.exe"="c:\program files\SFR\Kit\9props.exe" [2009-06-20 955712]
"NokiaOviSuite2"="c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe" [2010-02-24 385928]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\program files\Common Files\Nokia\MPlatform\NokiaMServer" [X]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 1033512]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-04-15 178712]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2008-04-23 468264]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-03-14 202032]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-11-01 554288]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-04-15 70912]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-11-20 488752]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-03-29 149280]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2008-04-15 442433]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-23 13539872]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-23 92704]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-10-30 500208]
"SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"AdobeCS5ServiceManager"="c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-22 406992]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-06-07 421160]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-01-07 1394000]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-10-08 136176]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-10-08 136176]
R3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\DRIVERS\netaapl.sys [2010-04-19 18432]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2006-11-28 28224]
R3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2010-03-11 366840]
R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
S0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2010-03-10 217032]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_030ac640\aestsrv.exe [2008-02-12 73728]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
S2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\Spyware Doctor\BDT\BDTUpdateService.exe [2010-01-22 112592]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2008-03-18 19456]
S2 Recovery Service for Windows;Recovery Service for Windows;c:\windows\SMINST\BLService.exe [2008-03-26 341328]
S3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-02-07 193840]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2008-01-24 52736]
S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2008-04-01 81296]
S3 NETw5v32;Pilote de carte Intel(R) Wireless WiFi Link pour Windows Vista 32 bits ;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-04-28 3658752]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2008-05-23 43552]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*Deregistered* - PCTSDInjDriver32
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-02-26 12:06 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2011-09-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-08 18:27]
.
2011-08-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-08 18:27]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll
Trusted Zone: mtp-night.com\www
Trusted Zone: orange.fr\www
TCP: DhcpNameServer = 192.168.1.1
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-AdobeBridge - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-09-07 10:52
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2011-09-07 10:55:45
ComboFix-quarantined-files.txt 2011-09-07 08:55
.
Avant-CF: 102 015 127 552 octets libres
Après-CF: 101 953 875 968 octets libres
.
- - End Of File - - 2EB0D63EA62B8E3D20BFB70CC4F88AA7
A voir également:

15 réponses

Réponse 1 / 15
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Bonjour

Télécharger ZHPDiag (de Nicolas Coolman) sur le bureau .
Dérouler la page et cliquer sur [Télécharger] ([ https://imageshack.com/ le bouton radio inférieur]).
Ne pas oublier de cocher le bouton ratio en face de "Créer une icône sur le bureau".
Se laisser guider lors de l'installation, ZHPDiag.exe se lancera automatiquement à la fin.

( /!\ L'outil a créé [ https://imageshack.com/ 4 icônes] , dont ZHPDiag (pour lancer l'application ultérieurement) et ZHPFix (pour le traitement du rapport) sur le bureau ) .

/!\Utilisateur de Vista et Seven : Clic-droit sur le logo ZHPDiag2.exe > choisir, dans le menu contextuel qui s'affiche, l'option [Exécuter en tant qu'Administrateur]/!\

- Cliquer sur le raccourci ZHPDiag du Bureau pour l'ouvrir.

Cliquer sur l'icône représentant une loupe pour "Lancer le diagnostic".

NOTES:
- Enregistrer le rapport sur le Bureau à l'aide de l'icône représentant une "Disquette"

- Héberger le rapport sur ce site https://www.cjoint.com/ ( ou sur celui-là ) > puis copier/coller le lien fourni dans la prochaine réponse vers le forum en cours.

Merci

PS: « ... on m'a proposé de télécharger combofix ... »
==> qui ça ?

Patience-Vigilance-Amour.
2
titoune
 
Voilà le lien où se trouve le rapport! Merçi de m'aider. Pour combofix c'est une connaissance qui s'y connait un peu dans les ordi pourquoi c'est pas ce qu'il fallait?
0
titoune
 
http://cjoint.com/?0ItrqkkdjzP
0
Réponse 2 / 15
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,

Bien
Merci
Pas de souci avec ComboFix.

Poursuivre comme ceci, s'il te plaît.
(c'est une première étape)

Désactiver l'UAC de Vista comme expliqué ICI

Avec la souris, sélectionner toutes ces lignes en italique gras ci-dessous, en vrac;
- puis après un clic-droit sur la sélection, les "copier" (ces lignes sont maintenant "dans la souris = le presse-papier")

EmptyTemp
SysRestore
P2 - FPN: [HKLM] [@viewpoint.com/VMP] - (...) -- C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll (.not file.)
O18 - Handler: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} . (...) --
O42 - Logiciel: vShare Plugin - (.Pas de propriétaire.) [HKLM] -- vShare
[HKCU\Software\vShare]
[HKLM\Software\OpenCandy NSIS SDK]
O43 - CFD: 07/12/2010 - 21:48:28 - [1178922] ----D- C:\Program Files\vShare
O69 - SBI: SearchScopes [HKCU] {043C5167-00BB-4324-AF7E-62013FAEDACF} [DefaultScope] - (Web Search...) - http://ww1.toolbarhome.com
O87 - FAEL: "TCP Query User{30E1DA93-8CF4-45CB-AF3D-A2AD32346126}C:\program files\live-player\live-player.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files\live-player\live-player.exe (.not file.)
O87 - FAEL: "UDP Query User{3F911252-E765-425A-B709-E9707ED8C702}C:\program files\live-player\live-player.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files\live-player\live-player.exe (.not file.)
[HKLM\Software\Classes\PROTOCOLS\Handler\vsharechrome]
[HKLM\Software\MozillaPlugins\@viewpoint.com/VMP]
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer]
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\vShare]
[HKLM\Software\Classes\vShare.ScriptHelpers]
[HKLM\Software\Classes\vShare.ScriptHelpers.1]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[HKLM\Software\Classes\Interface\{20ED5AF7-D9C4-409E-9EB3-D2A44A77FB6D}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3475D2C4-BBD1-4255-A70D-4125A4D30956}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3475D2C4-BBD1-4255-A70D-4125A4D30956}]
[HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}]
[HKLM\Software\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}]
[HKLM\Software\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}]
[HKLM\Software\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}]
[HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}]
[HKLM\Software\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}]
[HKLM\Software\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\vShare]
[HKLM\Software\Messenger Plus!\OpenCandy]
C:\Program Files\vShare
C:\Users\élo\AppData\LocalLow\vShare
[HKCU\Software\AppDataLow\Software\Conduit]
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (ooVoo Video Chat Customized Web Search) - http://search.conduit.com
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}]
[HKLM\Software\Classes\CLSID\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[HKCU\Software\AppDataLow\Software\Conduit]
O87 - FAEL: "{7BB60CD9-44CD-48A9-8AC2-BE2AFE4FF674}" | In - Public - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
O87 - FAEL: "{F1FF216D-2140-44CA-8C3A-8263FE806021}" | In - Public - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
EmptyFlash
MBRFix
HiddenFix

Lancer ZHPFix à partir du raccourci sur le bureau .
( Pour Vista : Faire un clic-droit sur l'icône ZHPFix.exe présente sur le Bureau, et sélectionner, dans le menu contextuel qui s'affiche, l'option " Exécuter en tant qu'administrateur ").

- Cliquer sur l'icône représentant la lettre bleue H, cela collera les lignes qui sont en mémoire dans le presse-papier.
Vérifier que toutes les lignes prescrites de copier (et seulement elles) sont dans la fenêtre.

* Cliquer sur GO.

[*] Accepter la désinstallation des programmes si proposé, mais refuser le redémarrage de ton pc si également proposé, car cela stopperait ZHPFix.
[*] Le navigateur risque de s'ouvrir pendant la désinstallation des toolbars, pas de panique c'est normal; fermer les fenêtres tout simplement.

Le rapport de l'application va apparaître dans la fenêtre.
* Copier/coller la totalité du rapport dans la prochaine réponse.( [CTRL+A] pour tout sélectionner, [CTRL+C] pour copier et [CTRL+V] pour coller )

Arrêter puis redémarrer le PC.

Relancer ensuite une analyse avec ZHPDiag comme précédemment, et poster le rapport.

Merci
Al.
1
titoune
 
voici le rapport de ZHPFIX
Rapport de ZHPFix 1.12.3361 par Nicolas Coolman, Update du 06/09/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-19-09-2011-17-53-02.txt
Run by élo at 19/09/2011 17:53:02
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
SUPPRIME O42 - Logiciel: vShare Plugin - (.Pas de propriétaire.) [HKLM] -- vShare

========== Clé(s) du Registre ==========
SUPPRIME Key: Mozilla Plugin: @viewpoint.com/VMP
ABSENT CLSID PAPP: {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484}
ABSENT Key: HKCU\Software\vShare
SUPPRIME Key: HKLM\Software\OpenCandy NSIS SDK
SUPPRIME Key: SearchScopes :{043C5167-00BB-4324-AF7E-62013FAEDACF}
ABSENT Key: HKLM\Software\Classes\PROTOCOLS\Handler\vsharechrome
ABSENT Key: HKLM\Software\MozillaPlugins\@viewpoint.com/VMP
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\vShare
ABSENT Key: HKLM\Software\Classes\vShare.ScriptHelpers
ABSENT Key: HKLM\Software\Classes\vShare.ScriptHelpers.1
ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}
ABSENT Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{043C5167-00BB-4324-AF7E-62013FAEDACF}
SUPPRIME Key: HKLM\Software\Classes\Interface\{20ED5AF7-D9C4-409E-9EB3-D2A44A77FB6D}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\vShare
SUPPRIME Key: HKLM\Software\Messenger Plus!\OpenCandy
SUPPRIME Key: HKCU\Software\AppDataLow\Software\Conduit
SUPPRIME Key: SearchScopes :{afdbddaa-5d3f-42ee-b79c-185a7020515b}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}
ABSENT Key: HKLM\Software\Classes\CLSID\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}
ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

========== Valeur(s) du Registre ==========
SUPPRIME TCP Query User{30E1DA93-8CF4-45CB-AF3D-A2AD32346126}C:/program files/live-player/live-player.exe
SUPPRIME UDP Query User{3F911252-E765-425A-B709-E9707ED8C702}C:/program files/live-player/live-player.exe
SUPPRIME {7BB60CD9-44CD-48A9-8AC2-BE2AFE4FF674}
SUPPRIME {F1FF216D-2140-44CA-8C3A-8263FE806021}

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 75
ABSENT C:\Program Files\vShare
SUPPRIME Flash Cookies: 1

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 100
ABSENT File: c:\program files\viewpoint\viewpoint experience technology\npviewpoint.dll
ABSENT Folder/File: c:\program files\vshare
ABSENT Folder/File: c:\users\élo\appdata\locallow\vshare
SUPPRIME Flash Cookies: 0

========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net

Resultat après le fix :
Master Boot Record non infecté

========== Dossiers/Fichiers cachés restaurés ==========
Mes images (My Pictures) : 329 Restauré(s) avec succès
Ma musique (My Music) : 60 Restauré(s) avec succès
Ma Video (My Video) : 1 Restauré(s) avec succès
Mes Favoris (My Favorites) : 2 Restauré(s) avec succès
Mes Documents (My Documents) : 289 Restauré(s) avec succès
Mon Bureau (My Desktop) : 3 Restauré(s) avec succès
Menu demarrer (Programs) : 7 Restauré(s) avec succès
Dossier utilisateur (AppData) : 997 Restauré(s) avec succès
Programmes (Program Files) : 0

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
32 : Clé(s) du Registre
4 : Valeur(s) du Registre
3 : Dossier(s)
5 : Fichier(s)
1 : Logiciel(s)
1 : Master Boot Record
1688 : Dossiers/Fichiers cachés restaurés
1 : Restauration Système


End of clean in 09mn 39s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 19/09/2011 17:53:02 [4954]
0
titoune
 
et voici la dernière analyse: http://cjoint.com/?0ItsmlDCTQG
alors ça donne quoi?? merçi
0
Réponse 3 / 15
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,

Bien
Merci

La suite:
==> Arrêter puis redémarrer le PC.
==> Relancer ensuite une analyse avec ZHPDiag comme précédemment, et poster le rapport.

Je dois passer à table.
À tout à l'heure.

NOTE: Si trop d'attente, tu peux entamer ceci:
Il serait souhaitable que tu supprimes AVAST4 de ton PC maintenant (utilise la page du lien, c'est plus radical et complet).
En revanche, tu dois désinstaller l'antivirus en mode normal pour éviter que la désinstallation échoue à cause du composant "Windows Installer".
[i]Cette version actuelle de Avast sert uniquement à t'avertir qu'il a laissé passer un élément infectieux !

Réinstallation Avast 6 :
Télécharger Avast, puis fais l'installation
Tuto version 6 ici https://forums.cnetfrance.fr/tutoriels-securite-informatique/301049-tutoriel-avast-6
Poster ensuite une analyse complète avec Avast6

Merci
Al.
Patience-Vigilance-Amour.
1
titoune
 
j'ai déjà envoyé le lien au dessus. j'avais actuellement antivir donc je l'enleve lui aussi pour remettre avast? bon appétit!
0
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,

Nos postes se sont chevauchés. ;)

Oui
Je me suis fourvoyé.
J'ai voulu dire AntiVir de AVIRA (==> à désinstaller)
(1°- Désactiver "guard" en faisant clic-droit sur le "Parapluie d'antivir" à coté de l'horloge, et tu décoches" guard"
2°- Ensuite vas dans "panneau de configuration", "ajouter/supprimer un programme" et tu supprimes antivir)


Et si tu as tout de même lancé la procédure de désinstallation de Avast, ce n'est rien; cela effacera sans doute les anciennes traces de Avast. Pas de souci avec ça.
AVAST 6 est mieux maintenant, et il a une fonction de protection en temps réel (GUARD).
==> Donne un rapport, une fois installé.

Tant que j'y pense, regarde dans ta liste de programmes installés, si tu trouves "Zugo" ; en ce cas, supprime-le.

Je retourne à table.

Al.
0
titoune
 
Pas de souci, par contre j'ai oublié de le faire avant de lancer le scan minitieux de avast donc je le ferai après!! pour le moment j'ai encore deux fichiers infectés et j'en suis qu'à la moitié du scan donc on verra je t'envoi le rapport dès que c'est fini donc d'ici une bonne heure je pense!!!
0
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Bien,

A)- ... et supprime ce que Avast6 détectera.

B)- N'oublie pas de jeter "Zugo".

C)- Question: As-tu payé "Spyware Doctor 7.0"

D)- Si NON, tu pourras le supprimer et le remplacer par le réputé "MBAM = Malwarebyte's Anti-Malware". C'est un logiciel précieux. Il faut le mettre à jour avant CHAQUE analyse.

Télécharger Malwarebyte's Anti-Malware depuis
[ https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/?1 ].

Enfoncer le bouton radio [Download Now],
- puis sur le bouton [Enregistrer], choisir sur le bureau.
Sur le bureau s'affiche alors l'icône "mbam-setup-1.51.2.1300.exe" .

Une aide précieuse dans ce Tutoriel https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ .

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware soient cochées.

Avant de lancer une analyse, vérifier que tous les disques amovibles soient encore branchés et sans les ouvrir.

A la fin de l'analyse, un message s'affiche
==> Citation : L'examen s'est terminé normalement.
==> Cliquer sur "Ok" pour poursuivre.
Si des malwares ont été détectés, cliquer sur "Afficher les résultats".
Sélectionner tout (ou laisser coché) et cliquer sur "Supprimer la sélection" > MBAM va détruire les fichiers et clés de registre, et en mettre une copie dans la quarantaine.

Prends ton temps.
Comment se comporte le PC ?
Merci.
Al.
0
titoune
 
alors je vais faire ce que tu viens de me donner, pour le rapport d'avast j'arrive pas à le sauvegarder par contre comme tu me le conseil j'efface les 2 menaces: win32:Hrupka-D [cryp] et la 2ème win32:adware-PT [Adw]
0
Réponse 4 / 15
castors33 Messages postés 55 Statut Membre 4
 
Bonjour,

en fait essaie avec superantispyware

https://www.superantispyware.com/

il devrait pouvoir enlevé complètement ton virus
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 15
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,

A)- Pas de souci.
MBAM en analyse complète prend parfois plus d'1 heure.
Il faut être patient et subir.
Ne rien faire entretemps.

B)- Cit. « Pour le message au démarrage de l'ordi ce n'est rien de grave? »
Je ne vois pas que tu cites un message dans ton post initial.
Voudrais-tu dire par là, qu'encore maintenant, et à chaque démarrage tu reçoives une alerte à propos de "Trojan-bnk.win32.keylogger.gen" ?

Or:
- 1°- tu as remplacé AntiVir par Avast6, et le rapport Avast 6 n'a pas signalé cette infection.
- 2°- tu avais lancé ComboFix (je crois même 2 fois --> 10:39:02.1.2 ) ; il a supprimé "ccm.exe" ==> as-tu une explication au sujet de ce fichier (Par exemple: Aurais-tu renommé un outil de sécurité ?).
- 3°- Peut-être également as-tu lancé d'autres outils; si c'est le cas, des "Indices" ont pu disparaître.

Donc, je ne saisi pas bien cette dernière question que tu exposes. Désolé.

C)- Comme écrit aux postes # 15 et 19, essaie de récupérer le rapport de la dernière analyse par Avast version 6.

D)- Nous nous reverrons demain.
Je dois maintenant quitter le PC.

Poste le rapport MBAM après avoir eu soin de supprimer les éléments éventuellement trouvés.

Ensuite, réactive l'UAC de Vista.

Je vois que tu as Windows Defender ==> il ne sert pas à grand-chose depuis le remplacement des programmes que je t'ai suggéré de remplacer. ==> à discuter demain (à quelle heure ?)

Merci pour ton patience et ta réactivité.
Albert

Patience-Vigilance-Amour.
0
titoune
 
Oui l'analyse est toujours en route quand ça sera fini je posterai le rapport que tu pourra voir demain. pour le message au démarrage c'est le bloc-notes qui l'affiche mais ça doit pas être très important on verra ça demain! je cherche le rapport d'avast après aussi mais pour le moment je ne l'ai pas trouvé. demain je peux vers 11H du matin. bonne soirée et merçi beaucoup d'avoir consacré autant de temps.
0
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Vu
Bonne nuit
Al.
0
titoune
 
voilà le rapport de MBAM:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 7750

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

19/09/2011 23:13:52
mbam-log-2011-09-19 (23-13-52).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 399007
Temps écoulé: 1 heure(s), 40 minute(s), 13 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Qoobox\quarantine\C\Users\élo\AppData\Local\ccm.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
0
titoune
 
pour le scan avast j'ai réussi a récupérer que ça je te l'envoi par le lien en ligne:
http://cjoint.com/?0ItxwqJeorb
0
Réponse 6 / 15
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Bonjour élo,

Bien
Merci.

As-tu encore des soucis avec le PC ce matin au démarrage ?
As-tu réactivé l'UAC ?

Faire cette application avec ZHPFix toujours sur le bureau:

Avec la souris, sélectionner toutes ces lignes en italique gras ci-dessous, en vrac;
puis après un clic-droit sur la sélection, les "copier" (ces lignes sont maintenant "dans la souris = le presse-papier")

EmptyTemp
O4 - Global Startup: C:\Users\élo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\avast! Antivirus.lnk . (...) -- C:\Program Files\Alwil Software\Avast4\ashAvast.exe (.not file.)
O16 - DPF: {1C11B948-582A-433F-A98D-A8C4D5CC64F2} (20-20 3D Viewer) - http://kitchenplanner.ikea.com/fr/Core/Player/2020PlayerAX_Win32.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
~ Scan Objets ActiveX in 00mn 00s
O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
SR - | Auto 25/05/2011 349472 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
O42 - Logiciel: Spyware Doctor 7.0 - (.PC Tools.) [HKLM] -- Spyware Doctor
O43 - CFD: 07/09/2011 - 10:34:14 - [325846630] ----D- C:\Program Files\Spyware Doctor
SS - | Demand 10/08/2011 366840 | (sdAuxService) . (.PC Tools.) - C:\Program Files\Spyware Doctor\pctsAuxs.exe
SS - | Demand 10/08/2011 1142224 | (sdCoreService) . (.PC Tools.) - C:\Program Files\Spyware Doctor\pctsSvc.exe
O43 - CFD: 12/10/2010 - 21:44:30 - [3422] ----D- C:\ProgramData\regid.1986-12.com.adobe
O67 - Shell Spawning: <.com> <>[HKU\..\open\Command] (.Not Key.)
O67 - Shell Spawning: <.exe> <>[HKU\..\open\Command] (.Not Key.)
[HKCU\Software\Zugo]
SysRestore
EmptyFlash
HiddenFix

Lancer ZHPFix à partir du raccourci sur le bureau .
( Pour Vista : Faire un clic-droit sur l'icône ZHPFix.exe présente sur le Bureau, et sélectionner, dans le menu contextuel qui s'affiche, l'option " Exécuter en tant qu'administrateur ").

- Cliquer sur l'icône représentant la lettre bleue H, cela collera les lignes qui sont en mémoire dans le presse-papier.
Vérifier que toutes les lignes prescrites de copier (et seulement elles) sont dans la fenêtre.

* Cliquer sur GO.

[*] Accepter la désinstallation des programmes si proposé, mais refuser le redémarrage de ton pc si également proposé, car cela stopperait ZHPFix.
[*] Le navigateur risque de s'ouvrir pendant la désinstallation des toolbars, pas de panique c'est normal; fermer les fenêtres tout simplement.

Le rapport de l'application va apparaître dans la fenêtre.
* Copier/coller la totalité du rapport dans la prochaine réponse.( [CTRL+A] pour tout sélectionner, [CTRL+C] pour copier et [CTRL+V] pour coller )

<gras>Arrêter puis redémarrer le PC.

Merci.
Al.
Patience-Vigilance-Amour.
0
titoune
 
Bonjour Al,
Au démarrage j'ai toujours le desktop- bloc-notes qui s'ouvre avec ce message dedans:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

mais bon ça ne change rien au pc il démarre normalement pas de message d'avast ou autre.Hier soir j'ai bien r&activé l'UAC. Je lance ZHPFIX et je te tiens au courant
0
titoune
 
Rapport de ZHPFix 1.12.3361 par Nicolas Coolman, Update du 06/09/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-20-09-2011-10-39-31.txt
Run by élo at 20/09/2011 10:39:31
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
ABSENT Software Key: Spyware Doctor

========== Clé(s) du Registre ==========
SUPPRIME Key: CLSID DPF: {1C11B948-582A-433F-A98D-A8C4D5CC64F2}
SUPPRIME Key: CLSID DPF: {5C051655-FCD5-4969-9182-770EA5AA5565}
SUPPRIME Key: CLSID DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072}
SUPPRIME Key: CLSID DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48}
SUPPRIME Key: Service: Bonjour Service
ABSENT Key: Service: Bonjour Service
ABSENT Key: Service: sdAuxService
ABSENT Key: Service: sdCoreService
SUPPRIME Key: HKCU\Software\Zugo

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 76
ABSENT C:\Program Files\Spyware Doctor
SUPPRIME Folder: C:\ProgramData\regid.1986-12.com.adobe
SUPPRIME Flash Cookies: 1

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 32
SUPPRIME Reboot c:\users\élo\appdata\roaming\microsoft\internet explorer\quick launch\avast! antivirus.lnk
ABSENT File: c:\program files\alwil software\avast4\ashavast.exe
SUPPRIME Reboot c:\program files\bonjour\mdnsresponder.exe
SUPPRIME File: c:\program files\bonjour\mdnsresponder.exe
ABSENT File: c:\program files\spyware doctor\pctsauxs.exe
ABSENT File: c:\program files\spyware doctor\pctssvc.exe
SUPPRIME Flash Cookies: 0

========== Dossiers/Fichiers cachés restaurés ==========
Mes images (My Pictures) : 0
Ma musique (My Music) : 0
Ma Video (My Video) : 0
Mes Favoris (My Favorites) : 0
Mes Documents (My Documents) : 2 Restauré(s) avec succès
Mon Bureau (My Desktop) : 1 Restauré(s) avec succès
Menu demarrer (Programs) : 0
Dossier utilisateur (AppData) : 180 Restauré(s) avec succès
Programmes (Program Files) : 0

========== Restauration Système ==========
Point de restauration du système créé avec succès

========== Autre ==========
NON TRAITE ~ Scan Objets ActiveX in 00mn 00s


========== Récapitulatif ==========
9 : Clé(s) du Registre
4 : Dossier(s)
8 : Fichier(s)
1 : Logiciel(s)
183 : Dossiers/Fichiers cachés restaurés
1 : Restauration Système
1 : Autre


End of clean in 09mn 42s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 19/09/2011 16:53:02 [5006]
C:\ZHP\ZHPFix[R2].txt - 20/09/2011 10:39:31 [2452]
0
Réponse 7 / 15
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,
OK
Vu, c'est plus clair avec le texte du bloc-notes.

Tu pourras dès lors suivre ce qui est repris dans les deux liens suivants; mais je préfèrerais que tu le fasses plus tard, à l'issue de la désinfection. Merci.

J'avais ceci en réserve : Désactiver l'ouverture du bloc-note (Notepad) à chaque démarrage; mais c'est apparemment exclusivement pour Seven.
Donc, lis bien ce topic http://www.vista-xp.fr/forum/topic5421.html ; il devrait résoudre ce souci de message au démarrage du PC sous Vista ( pas une bonne idée ce Vista ;) ) . Suis bien les infos communiquées par Chantal11; également les précautions à prendre à la lettre.

Al.
Patience-Vigilance-Amour.
0
titoune
 
pour la désinfection c'est ok? je peux résoudre le souci du message au démarrage au j'attends encore?
0
titoune
 
ah oui tu voulais me parler hier de windows defender, justement il m'informe que certains programmes de démarrage sont bloqués
0
Utilisateur anonyme
 
salut Al,de passage...

c'est HiddenFix de zhpdiag qui fait ce beug sur certains pc

doit y avoir des entrées desktop.ini dans msconfig ^^
0
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Salut gen,
Content de te lire.

L'internaute aurait donc dû utiliser ZHPDiag avant l'ouverture de ce topic ?
À confirmer par titoune ;)

Effectivement, ce serait plus rapide à supprimer les entrées via "msconfig" en ligne de commande, plutôt que passer par 'affichage des "fichiers et dossiers cachés de système". J'y reviendrai à la fin de ce topic.

Merci
Amicalement
Albert
0
titoune
 
Rapport de ZHPFix 1.12.3361 par Nicolas Coolman, Update du 06/09/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-20-09-2011-10-39-31.txt
Run by élo at 20/09/2011 10:39:31
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
ABSENT Software Key: Spyware Doctor

========== Clé(s) du Registre ==========
SUPPRIME Key: CLSID DPF: {1C11B948-582A-433F-A98D-A8C4D5CC64F2}
SUPPRIME Key: CLSID DPF: {5C051655-FCD5-4969-9182-770EA5AA5565}
SUPPRIME Key: CLSID DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072}
SUPPRIME Key: CLSID DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48}
SUPPRIME Key: Service: Bonjour Service
ABSENT Key: Service: Bonjour Service
ABSENT Key: Service: sdAuxService
ABSENT Key: Service: sdCoreService
SUPPRIME Key: HKCU\Software\Zugo

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 76
ABSENT C:\Program Files\Spyware Doctor
SUPPRIME Folder: C:\ProgramData\regid.1986-12.com.adobe
SUPPRIME Flash Cookies: 1

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 32
SUPPRIME Reboot c:\users\élo\appdata\roaming\microsoft\internet explorer\quick launch\avast! antivirus.lnk
ABSENT File: c:\program files\alwil software\avast4\ashavast.exe
SUPPRIME Reboot c:\program files\bonjour\mdnsresponder.exe
SUPPRIME File: c:\program files\bonjour\mdnsresponder.exe
ABSENT File: c:\program files\spyware doctor\pctsauxs.exe
ABSENT File: c:\program files\spyware doctor\pctssvc.exe
SUPPRIME Flash Cookies: 0

========== Dossiers/Fichiers cachés restaurés ==========
Mes images (My Pictures) : 0
Ma musique (My Music) : 0
Ma Video (My Video) : 0
Mes Favoris (My Favorites) : 0
Mes Documents (My Documents) : 2 Restauré(s) avec succès
Mon Bureau (My Desktop) : 1 Restauré(s) avec succès
Menu demarrer (Programs) : 0
Dossier utilisateur (AppData) : 180 Restauré(s) avec succès
Programmes (Program Files) : 0

========== Restauration Système ==========
Point de restauration du système créé avec succès

========== Autre ==========
NON TRAITE ~ Scan Objets ActiveX in 00mn 00s


========== Récapitulatif ==========
9 : Clé(s) du Registre
4 : Dossier(s)
8 : Fichier(s)
1 : Logiciel(s)
183 : Dossiers/Fichiers cachés restaurés
1 : Restauration Système
1 : Autre


End of clean in 09mn 42s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 19/09/2011 16:53:02 [5006]
C:\ZHP\ZHPFix[R2].txt - 20/09/2011 10:39:31 [2452]
0
Réponse 8 / 15
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,
@titoune

==> donne-moi le rapport ZHPFix, s'il te plaît.
0
titoune
 
je l'avais posté un peu plus haut mais tiens je te le poste à nouveau
0
Réponse 9 / 15
Utilisateur anonyme
 
j'ai fait ce petit truc qui vire ce probleme au demarrage avec le bloc notes

http://dl.dropbox.com/u/21363431/Desk.ini_Search.exe
0
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Merci gen

À exécuter uniquement ?

Al.
0
Utilisateur anonyme
 
oui et normalement au redemarrage le beug n'est plus :)
0
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Ok
Merci
J'avais testé, mais pas vu assez ==> seulement la "Recherche" , suivie de l'extinction de la fenêtre.
Merci pour cette confirmation.
Albert
0
Réponse 10 / 15
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
up pour test
bug CCM ?

OK ==>je relance pour la 4ème fois mon message

@titoune

Exécute l'outil de g3n-h@ckm@n ; il faut patienter le temps de la recherche.

Ensuite terminer comme ceci:

A)- Une chose à vérifier, comme ceci:

==> Télécharger AdwCleaner d'Xplode, sur le bureau à partir de ce lien http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner
- Lancer AdwCleaner
- Cliquer sur le bouton [Suppression]
- Patienter ...
Dès le scan fini, un rapport s'ouvrira; me poster son contenu dans la prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

B)- ==> Supprimer les outils utilisés lors de la désinfection; comme ceci:

Télécharger DelFix de Xplode sur le bureau,à partir de ce lien

1- - L'exécuter ; une page d'activation de l'outil s'affiche sur le bureau.
- Enfoncer alors le bouton radio [Suppression].
- Au terme de l'étape [Suppression], il faudra :
2- Copier/Coller le contenu du rapport (Il est enregistré en C:\DelFixSuppr.txt) dans la prochaine réponse de la discussion en cours.

3- Puis, redémarrer le PC.

4- Ensuite, désinstaller DelFix en enfonçant le bouton radio [Désinstallation]

C)- Télécharger OneClick2RestorePoint
http://www.multifa7.be/Laddy/OneClick2RP.exe
Miroirs ci-après, si le précédent n'est pas accessible:
http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe

1°- Double-clic sur OneClick2RP pour ensuite [Exécuter]
(Note : Sous Vista/Seven , faire un clic-droit et, dans le menu contextuel, choisir [Exécuter en tant qu'administrateur])
Cliquer sur le bouton "Purger", l'outil de nettoyage de Windows va s'ouvrir. Patienter pendant le scan ... Cette première étape donne ceci: https://imageshack.com/

2°- Ensuite:
Sur la fenêtre qui s'affiche à la fin du scan, ouvrir l'onglet "Autres options".
- Une page s'affiche.
- Dans la zone "Restauration système" (en bas), cliquer sur le bouton "Nettoyer", puis sur le bouton "Supprimer" > [OK] https://imageshack.com/
- Cela terminera la mise à blanc du répertoire "Restauration Système" .

Note</gras></souligne> : Les points de restauration système seront purgés sauf le dernier créé.

D)- ==> Vacciner tes disques amovibles à l'aide de USBFix http://www.teamxscript.org/too/UsbFix.exe
Au menu principal, choisis l'option 3 (Vaccination).

E)- Windows Defender est une usine à faux-positifs.
Activer ou désactiver Windows Defender

F)- ==> Nettoyer avec ton CCleaner (registres et fichiers); après avoir fait sa mise à jour.

Merci
Al

PS: J'ai posté mon message en 4 étapes (morceau par morceau) et ça a marché. Ouf. J'ai averti la modération.

Patience-Vigilance-Amour.
0
titoune
 
alors premiere étape faite voilà le rapport:
# AdwCleaner v1.307 - Rapport créé le 20/09/2011 à 12:18:26
# Mis à jour le 19/09/11 à 09h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : élo - PC-DE-ÉLO (Administrateur)
# Exécuté depuis : C:\Users\élo\Desktop\adwcleaner0.exe
# Option [Suppression]


***** [KillNav] *****

Aucun navigateur n'était en cours d'exécution.

***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Supprimée : HKCU\Software\Zugo

***** [Navigateurs] *****

-\\ Internet Explorer v7.0.6002.18005

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [722 octets] - [20/09/2011 12:18:26]

*************************

Dossier Temporaire : 8 dossier(s) et 19 fichier(s) supprimé(s)

########## EOF - C:\AdwCleaner[S1].txt - [944 octets] ##########
0
titoune
 
Pour la 2ème étape le nettoyage des outils qu'on a utilisé il me marque un message d'erreur comme quoi il ne trouve pas le fichier spécifié
0
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Bien m
Merci
Ce truc "Zugo" revient toujours.
--> Clé Supprimée : HKCU\Software\Zugo

Il faut en venir à bout.
Tu vas rechercher ses traces dans le PC; comme ceci:

Télécharger SEAF ( de C__XX ) sur le bureau :
! Fermer toutes applications en cours !

* Lancer "SEAF.exe" ( clic-droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) .
* Dans l'encardré blanc intitulé " Entrez ci dessous...", il faut copier/coller Zugo


* Au niveau des "Options des fichiers", faire les réglages suivant :

> A "Calculer le checksum" , choisis : MD5
> Cocher la case devant " Info. supplémentaire ".
> Cocher la case devant " Afficher les ADS "
> Cocher la case devant " Afficher également les dossiers "
* Au niveau des " Options du registre " :
> coche " chercher également dans le registre "
> coche " chercher uniquement dans le registre "
* Ne toucher à aucun autre réglage !

* Cliquer sur " Lancer la recherche " et laisser travailler l'outil ...
( cela peut-être plus ou moins long suivant les cas ).

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher.
Enregistrer ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ).
Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

--> Copie/colle le contenu de ce rapport dans ta prochaine réponse . Si le rapport est trop long, utilise le site d'hébergement comme pour ZHPDiag.

Merci
0
titoune
 
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 13:00:15 le 20/09/2011
4.
5. Valeur(s) recherchée(s):
6. zugo
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Affichage des ADS
13. (!) --- Affichage des dossiers
14. (!) --- Recherche registre
15.
16. ====== Fichier(s) ======
17.
18. Aucun fichier trouvé
19.
20.
21. ====== Entrée(s) du registre ======
22.
23. Aucun élément dans le registre trouvé
24.
25. =========================
26.
27. Fin à: 13:04:50 le 20/09/2011
28. 575271 Éléments analysés
29.
30. =========================
31. E.O.F
0
titoune
 
aucune trace de zugo
0
Réponse 11 / 15
titoune
 
je continu quand même les autres étapes? je l'ai désinstallé et réinstallé mais il me marque le même message d'erreur:
error: failed attempt to launch program or document: action: <C:\DelFixSuppr.txt>
params: < >
The current thread will exit.
Specifically: Le fichier spécifié est introuvable
Line#
---> 831: Run,%RapportFiles%
0
Réponse 12 / 15
titoune
 
je t'ai posté le rapport aucunes traces de zugo
0
Réponse 13 / 15
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,

Bien.
AdwCleaner avait bien travaillé.

Je ne comprends pas ceci: « je l'ai désinstallé et réinstallé ... » ; je pense que tu cites DelFix
D'accord, au post (#41) § B- 4° tu l'as supprimé.
Mais pourquoi vouloir le réinstaller ?
==> essaie "clic-droit" > "exécuter en tant qu'administrateur" pour le lancer.

Poursuis maintenant les applications du post # 41.
Avais-tu exécuté l'outil de g3n-h@ckm@n ?

Al.

Patience-Vigilance-Amour.
0
titoune
 
-oui je parlais de DelFix car il n'a pas voulu se mettre en route donc j'ai essayer de le réinstaller pour voir si ça pouvais marcher mais j'ai eu le même message d'erreur.

-Oui j'ai fait l'application de g3n-h@ckm@n.

-je poursuis les autres applications
merçi
0
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
==> essaie "clic-droit" > "exécuter en tant qu'administrateur" pour lancer DelFix.
0
titoune
 
Voilà le rapport de DelFix:
# DelFix v8.4 - Rapport créé le 20/09/2011 à 13:54
# Mis à jour le 16/09/11 à 21h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
# Nom d'utilisateur : élo - PC-DE-ÉLO (Administrateur)
# Exécuté depuis : C:\Users\élo\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Kill'em
Supprimé : C:\Qoobox
Supprimé : C:\Program Files\SEAF
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\ComboFix.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\rapport.txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\sed.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\zip.exe
Supprimé : C:\Users\élo\Desktop\SEAF.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\AdwCleaner
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SEAF
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
ACL -> [F] & Clé Supprimée : HKLM\SOFTWARE\Swearware

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1569 octets] ##########
0
Réponse 14 / 15
titoune
 
Par contre mauvaise nouvelle, le message au démarrage est toujours présent malgré l'application de gen
0
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Zut alors!

Exécute la commande msconfig
( ==> [Démarrer] > [Exécuter] et copier/coller cette commande dans la zone de saisie : CMD )
Valider par la combinaison de touches suivantes : [Ctrl + Shift + Entrée].
Et dans la liste sous l'onglet "Démarrage", repère ces lignes "desktop.ini"
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
Et supprime-les.
0
Utilisateur anonyme
 
en fait il faut supprimer c:\ProgramData\Microsoft\windows\startmenu\programs\startup\desktop.ini
0
titoune
 
heu je ne trouve pas exécuter dans démarrer...
0
titoune
 
oki c'est fait
0
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Bien, mais comment ?
Par le dernier conseil de g3n-h@ckm@n, ... ou via "msconfig" ?

N'oublie pas # 41 § C
0
Réponse 15 / 15
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
OK
Bonne continuation.
Reviens quand tu veux.
Albert
0
Utilisateur anonyme
 
;)
0
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
;)
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses