Pc serieusement infecté , trojan ..

Clia -  
moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,



J'ai vraiment besoin d'aide , mon pc est serieusement infecté et je ne sais plus quoi faire ! Voilà le scan de zhpdiag

Rapport de ZHPScan v1.28 par Nicolas Coolman, Update du 24/09/2011
Run by Hassina at 27/09/2011 22:37:56
Web site : http://www.premiumorange.com/zeb-help-process/zhpdiag.html

---\\ Clés de Registre trouvées (Registry Keys found)
[HKLM\Software\Classes\kt_bho.kettlebho] =>Adware.BHO
[HKLM\Software\Classes\kt_bho.kettlebho.1] =>Adware.BHO
[HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook] =>Adware.Agent
[HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook.1] =>Adware.Agent
[HKLM\Software\Classes\Interface\{2a42d13c-d427-4787-821b-cf6973855778}] =>Adware.Agent
[HKLM\Software\Classes\Interface\{3d8478aa-7b88-48a9-8bcb-b85d594411ec}] =>Adware.Agent
[HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}] =>Toolbar.Conduit
[HKLM\Software\Classes\Interface\{4897bba6-48d9-468c-8efa-846275d7701b}] =>Adware.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{58124A0B-DC32-4180-9BFF-E0E21AE34026}] =>Adware.IMBooster
[HKLM\Software\Classes\CLSID\{58124A0B-DC32-4180-9BFF-E0E21AE34026}] =>Adware.IMBooster
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{58124A0B-DC32-4180-9BFF-E0E21AE34026}] =>Adware.IMBooster
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO
[HKLM\Software\Classes\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO
[HKLM\Software\Classes\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}] =>Trojan.BHO
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{977AE9CC-AF83-45E8-9E03-E2798216E2D5}] =>Adware.IMBooster
[HKLM\Software\Classes\CLSID\{977AE9CC-AF83-45E8-9E03-E2798216E2D5}] =>Adware.IMBooster
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}] =>Adware.IMBooster
[HKLM\Software\Classes\CLSID\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}] =>Adware.IMBooster
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}] =>Adware.IMBooster
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{A76AA284-E52D-47E6-9E4F-B85DBF8E35C3}] =>Adware.IMBooster
[HKCU\Software\Iminent] =>Adware.IMBooster
[HKLM\Software\Iminent] =>Adware.IMBooster
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\IMBoosterARP] =>Adware.IMBooster

---\\ Valeurs de clé de Registre trouvées (Registry Values found)
*** None ***

---\\ Dossiers trouvés (Directories found)
C:\Program Files\IMinent Toolbar =>Adware.IMBooster
C:\Program Files\Iminent =>Adware.IMBooster
C:\ProgramData\Iminent =>Adware.IMBooster
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Iminent =>Adware.IMBooster
C:\Users\Hassina\AppData\LocalLow\Toolbar4 =>Toolbar.Conduit

---\\ Fichiers Firefox trouvés (Files found)
*** None ***

---\\ Fichiers trouvés (Files found)
*** None ***

---\\ Bilan de la recherche (Scan Result)
Database Version : 8636 - (24/09/2011)
Clés trouvées (Keys found) : 24
Valeurs de clé trouvées (Values found) : 0
Dossiers trouvés (Folders found) : 5
Fichiers trouvés (Files found) : 0

End of the scan in 00mn 28s

8 réponses

  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    fais ceci stp

    1)

    Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

    http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner

    Lance le, clique sur SUPPRESSION puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleane.txt

    .........................

    2)

    fais un nouveau rapport ZHPdiag

    Rend toi sur http://pjjoint.malekal.com/

    Clique sur "Parcourir "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

    1
    1. Clia
       
      Merci pour ton aide Moment de grace , Voila le rapport AdwCleaner


      # AdwCleaner v1.308 - Rapport créé le 28/09/2011 à 18:08:04
      # Mis à jour le 25/09/11 à 17h par Xplode
      # Système d'exploitation : Windows Vista (TM) Home Basic Service Pack 1 (32 bits)
      # Nom d'utilisateur : Hassina - PC-DE-HASSINA (Administrateur)
      # Exécuté depuis : C:\Users\Hassina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NM3IAM6M\adwcleaner[1].exe
      # Option [Suppression]


      ***** [KillNav] *****

      Aucun navigateur n'était en cours d'exécution.

      ***** [Processus] *****


      ***** [Services] *****


      ***** [Fichiers / Dossiers] *****


      ***** [Registre] *****


      ***** [Navigateurs] *****

      -\\ Internet Explorer v7.0.6001.18000

      [OK] Le registre ne contient aucune entrée illégitime.

      -\\ Mozilla Firefox v [Impossible d'obtenir la version]

      Profil : 5nerj42m.default
      Fichier : C:\Users\Hassina\AppData\Roaming\Mozilla\Firefox\Profiles\5nerj42m.default\prefs.js

      ... Fichier absent !

      *************************

      AdwCleaner[S1].txt - [975 octets] - [28/09/2011 18:08:04]

      *************************

      Dossier Temporaire : 5 dossier(s) et 4 fichier(s) supprimé(s)

      ########## EOF - C:\AdwCleaner[S1].txt - [1196 octets] ##########




      Et Voilà le lien :

      http://pjjoint.malekal.com/files.php?id=ZHPDiag_j15r8o8t9g10p14z5r13y9g14s7d15z5l1514q14g5n15g8y15
      0
  2. Clia
     
    Alors personne pour me Répondre ? Vraiment vous ferriez un grand geste la !!
    0
  3. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    grrrr

    il n'est pas à jour ce pc

    pour l'instant, fais ceci stp

    1)

    Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    O3 - Toolbar: IMinent Toolbar - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} . (.Pas de propriétaire - IE Toolbar Engine.) -- C:\Program Files\IMinent Toolbar\tbcore3.dll
    O4 - HKLM\..\Run: [IMBooster] . (.Iminent - IMBooster.) -- C:\Program Files\Iminent\IMBooster\imbooster.exe )
    O42 - Logiciel: IMinent Toolbar - (.IMinent.) [HKLM] -- {A76AA284-E52D-47E6-9E4F-B85DBF8E35C3}
    O42 - Logiciel: Iminent - (.Iminent.) [HKLM] -- IMBoosterARP
    O42 - Logiciel: Iminent - (.Iminent.) [HKLM] -- {AF2D5B54-36DE-471E-B9C8-58E4B2B951C6}
    [HKCU\Software\Iminent]
    [HKLM\Software\Iminent]
    [HKLM\Software\Mircrosoft]
    O43 - CFD: 26/09/2011 - 22:30:52 - [17931813] ----D- C:\Program Files\Iminent
    O43 - CFD: 26/09/2011 - 22:35:22 - [3525294] ----D- C:\Program Files\IMinent Toolbar
    O43 - CFD: 26/09/2011 - 22:36:20 - [106846] ----D- C:\ProgramData\IMinent
    O87 - FAEL: "{0EED375E-AA45-4F0F-9DD0-ABB4E3783632}" | In - Public - P6 - TRUE | .(.Iminent - IMBooster.) -- C:\Program Files\Iminent\IMBooster\IMBooster.exe
    O87 - FAEL: "{0D153A4A-AD9F-4ECB-BAA6-1A36A16EF9E0}" | Out - Public - P6 - TRUE | .(.Iminent - IMBooster.) -- C:\Program Files\Iminent\IMBooster\IMBooster.exe
    O87 - FAEL: "{634CC958-62EC-45EA-B89E-BC1636102176}" | In - Public - P6 - TRUE | .(.Iminent - Iminent Multimedia Server.) -- C:\Program Files\Iminent\MMServer\Iminent.MMServer.exe
    O87 - FAEL: "{874CF71E-D140-4036-856C-2A5DCBB4CDF7}" | Out - Public - P6 - TRUE | .(.Iminent - Iminent Multimedia Server.) -- C:\Program Files\Iminent\MMServer\Iminent.MMServer.exe
    [HKLM\Software\Classes\kt_bho.kettlebho]
    [HKLM\Software\Classes\kt_bho.kettlebho.1]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
    [HKLM\Software\Classes\CLSID\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
    [HKLM\Software\Classes\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{977AE9CC-AF83-45E8-9E03-E2798216E2D5}]
    [HKLM\Software\Classes\CLSID\{977AE9CC-AF83-45E8-9E03-E2798216E2D5}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}]
    [HKLM\Software\Classes\CLSID\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{A76AA284-E52D-47E6-9E4F-B85DBF8E35C3}]
    [HKCU\Software\Iminent]
    [HKLM\Software\Iminent]
    C:\Program Files\IMinent Toolbar
    C:\Program Files\Iminent
    C:\ProgramData\Iminent
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Iminent
    C:\Users\Hassina\AppData\LocalLow\Toolbar4
    [MD5.C2EA7A5A768E795CE0F86F7CEAABA331] [SPRF][26/09/2011] (.Iminent - IMinent bootstrapper.) -- C:\Users\Hassina\Desktop\Bootstrapper_0-uvdhqmaP_.exe [1929192]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\IMBoosterARP]
    [HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook]
    [HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook.1]
    [HKLM\Software\Classes\Interface\{2a42d13c-d427-4787-821b-cf6973855778}]
    [HKLM\Software\Classes\Interface\{3d8478aa-7b88-48a9-8bcb-b85d594411ec}]
    [HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}]
    [HKLM\Software\Classes\Interface\{4897bba6-48d9-468c-8efa-846275d7701b}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{58124A0B-DC32-4180-9BFF-E0E21AE34026}]
    [HKLM\Software\Classes\CLSID\{58124A0B-DC32-4180-9BFF-E0E21AE34026}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{58124A0B-DC32-4180-9BFF-E0E21AE34026}]



    Puis Lance ZHPFix depuis le raccourci du bureau . (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)

    * Une fois l'outil ZHPFix ouvert ,

    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

    ..........................

    2)

    Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    . Enregistres le sur le bureau
    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    . Une fois la mise à jour terminé
    . Rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen rapide
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, clique sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . Rends toi dans l'onglet rapport/log
    . Tu cliques dessus pour l'afficher, une fois affiché
    . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
    . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    Si tu as besoin d'aide regarde ces tutoriels :
    Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

    ............................

    3)

    Redemarre le pc et dis moi si tu as encore des soucis
    0
  4. Clia
     
    Rapport de ZHPFix 1.12.3362 par Nicolas Coolman, Update du 23/09/2011
    Fichier d'export Registre :
    Run by Hassina at 27/09/2011 22:17:37
    Windows Vista Home Basic Edition, 32-bit Service Pack 1 (Build 6001)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Dossier(s) ==========
    SUPPRIME Flash Cookies: 2

    ========== Fichier(s) ==========
    SUPPRIME Flash Cookies: 1

    ========== Récapitulatif ==========
    1 : Dossier(s)
    1 : Fichier(s)

    End of clean in 17mn 37s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 27/09/2011 22:17:37 [560]

    Voilà le Rapport j'ai ensuite telechargé MalwareByte's Anti-Malware qui n'as rien detecté , J'ai 72 mises a jour Windows update mais impossible de les executer x S
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    je doute que la manip zhpfix est fonctionné

    Fais un nouveau rapport ZHPdiag stp

    Rend toi sur http://pjjoint.malekal.com/

    Clique sur "Parcourir "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

    0
    1. Clia
       
      Voilà le lien ; http://pjjoint.malekal.com/files.php?id=ZHPDiag_f6q9j8f12e5e5b7o11t6p5d6z14i10h13l7z6m11g9g10e14
      0
  7. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    si c'est bon

    ................

    J'ai 72 mises a jour Windows update mais impossible de les executer x S

    explique un peu
    0
    1. Clia
       
      Tu est sure ? Car j'ai des fichiers que je trouve louche encore et impossible de les supprimer .. Oui j'ai 72 mises a jour securité mais elle ne veulent pas s'executer ça me met une Croix Rouge quand je clique dessus
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      tu as les noms de ces fichiers ?
      0
    3. Clia
       
      J'ai 2 fichier 3590F75ABA9E485486C100C1A9D4FF06ZZ.Z..Z..ZZ...ZZ et 3590F75ABA9E485486C100C1A9D4FF06Z....ZZ..Z..Z.ZZ dans l'ordinateur quand je veux le supprimer j'ai ' Vous ne disposer pas des autorisations pour effectuer cette actions ' , C'est un virus ?
      0
    4. Clia
       
      Et Impossible D'activer le centre de securité aussi
      0
  8. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ce sont des dossiers ou des fichiers ?

    ....................

    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu


    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan
    http://dl.dropbox.com/u/21363431/Pre_scan.exe

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif
    http://dl.dropbox.com/u/21363431/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ? Clique sur Parcourir et cherche le fichier ci-dessus.

    ? Clique sur Ouvrir.

    ? Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ? Copie ce lien dans ta réponse.

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

    0
    1. Clia
       
      Je peut faire ça en mode sans echec ? Le PC es trop lent !
      0
    2. Clia
       
      ( Je ne l'ai pas fait en mode sans echec finalment ) Voilà le lien http://www.cijoint.fr/cjlink.php?file=cj201109/cijawVmpU8.txt
      0
    3. Clia
       
      par contre J'ai pas compris comment suprrimer les Proxy
      0
  9. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Lances ZHPFix depuis le raccourci du Bureau (en mode administrateur si Vista/W7),
    Cliques sur le bouton 'ProxyFix' situé dans la partie droite de l'écran,
    Cliques sur 'Non' au message qui s'affiche à l'écran,
    Laisses travailler l'outil,
    A la fin du traitement, un rapport s'affiche
    Copie ce rapport
    Redémarre le pc pour prendre en compte les modifications.
    0