Pc infecté impossible de détruire infection Résolu/Fermé

Question

Bonjour, donc voilà, hier constatant de légers ralentissements sur mon pc j'ai téléchargé malwarebytes vu que tonton McAfee ne trouvait rien et j'étais un peu sceptique.  
Je fait un examen complet et surprise un backdoor.agent dans mon registre HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell , je le supprime (après redémarrage), je refais un scan et voilà que le virus réapparais. Ça fait 3x que je fais la manip et rien, bon j'ai déjà pris des précautions sachant que ce virus peut récolter des infos persos, mais j'aimerais tout même pouvoir le supprimer définitivement =) merci d'avance, bonne journée.  

Si jamais le rapport: 
Malwarebytes' Anti-Malware 1.51.2.1300 
www.malwarebytes.org 

Version de la base de données: 8064 

Windows 6.1.7600 
Internet Explorer 9.0.8112.16421 

02.11.2011 09:55:53 
mbam-log-2011-11-02 (09-55-53).txt 

Type d'examen: Examen complet (C:\|) 
Elément(s) analysé(s): 425086 
Temps écoulé: 1 heure(s), 41 minute(s), 59 seconde(s) 

Processus mémoire infecté(s): 0 
Module(s) mémoire infecté(s): 0 
Clé(s) du Registre infectée(s): 0 
Valeur(s) du Registre infectée(s): 1 
Elément(s) de données du Registre infecté(s): 0 
Dossier(s) infecté(s): 0 
Fichier(s) infecté(s): 0 

Processus mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Module(s) mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Clé(s) du Registre infectée(s): 
(Aucun élément nuisible détecté) 

Valeur(s) du Registre infectée(s): 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Backdoor.Agent) -> Value: Shell -> Delete on reboot. 

Elément(s) de données du Registre infecté(s): 
(Aucun élément nuisible détecté) 

Dossier(s) infecté(s): 
(Aucun élément nuisible détecté) 

Fichier(s) infecté(s): 
(Aucun élément nuisible détecté) 




Configuration: Windows 7 / Firefox 7

Lyonnais92 · Answer

Bonjour,

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse. 
 
 (si Cijoint ne fonctionne pas, essaye ici : http://pjjoint.malekal.com/ )

lazuligo · Answer

http://www.cijoint.fr/cjlink.php?file=cj201111/cijDWYww8o.txt
Voilà merci =)

Lyonnais92 · Answer

Re,

comment es tu connecté à Internet ?

Est il normal de trouver une IP liée à un citoyen suisse.

Tu connais ips.jpnet.ch

===

Il y a quoi dans C:\Users\Hindi\AppData\Local\d0fef9bc ?

===


 
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

C:\Users\Hindi\AppData\Roaming\Mozilla\Firefox\Profiles\o8c7xa5c.default\Extensions\dttoolbar@toolbarnet.com
M2 - MFEP: prefs.js [Hindi - o8c7xa5c.default\DTToolbar@toolbarnet.com] [] DAEMON Tools Toolbar v (.DT Soft Ltd..)
O3 - Toolbar: DAEMON Tools Toolbar [64Bits] - {32099AAC-C132-4136-9E9A-4E364A424E17} . (...) -- C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17}
O23 - Service: VAIO Care Performance Service (SampleCollector) - Clé orpheline
O43 - CFD: 27/10/2011 - 13:59:58 - [1734] ----D- C:\ProgramData\regid.1986-12.com.adobe
EmptyTemp

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

lazuligo · Answer

Oui je suis citoyen Suisse et ips.jpnet.ch le provider sur lequel je suis connecté C:\Users\Hindi\AppData\Local\d0fef9bc est vide. 


Rapport de ZHPFix 1.12.3366 par Nicolas Coolman, Update du 26/10/2011 
Fichier d'export Registre :  
Run by Hindi at 02.11.2011 10:52:46 
Windows 7 Home Premium Edition, 64-bit  (Build 7600) 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html 

========== Clé(s) du Registre ========== 
SUPPRIME Key: Service: SampleCollector 

========== Valeur(s) du Registre ========== 
SUPPRIME Toolbar: {32099AAC-C132-4136-9E9A-4E364A424E17} 
SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17} 
ABSENT [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17} 

========== Dossier(s) ========== 
SUPPRIME Folder: c:\users\hindi\appdata\roaming\mozilla\firefox\profiles\o8c7xa5c.default\extensions\dttoolbar@toolbarnet.com 
SUPPRIME Folder: C:\ProgramData\regid.1986-12.com.adobe 
SUPPRIME Temporaires Windows: : 96 

========== Fichier(s) ========== 
ABSENT File: c:\program files (x86)\daemon tools toolbar\dttoolbar64.dll 
SUPPRIME Temporaires Windows: : 267 


========== Récapitulatif ========== 
1 : Clé(s) du Registre 
3 : Valeur(s) du Registre 
3 : Dossier(s) 
2 : Fichier(s) 


End of clean in 00mn 10s 

========== Chemin de fichier rapport ========== 
C:\ZHP\ZHPFix[R1].txt - 02.11.2011 10:52:46 [1270]

Lyonnais92 · Answer

Re,

OK.

Tu relances ZHPFix avec ces lignes

[HKCU\Software\d0fef9bc]
O43 - CFD: 26/10/2011 - 14:55:54 - [80384] -SH-D- C:\Users\Hindi\AppData\Local\d0fef9bc

Tu fais redémarrer l'ordi.

Toujours des soucis ?

lazuligo · Answer

Je crois que c'est bon =) merci beaucoup pour votre aide, bonne journée.

Lyonnais92 · Answer

Re,

tu relances ZHPDiag et tu postes le rapport dans un lien.

On va finaliser tout ça.

lazuligo · Answer

ah ok dsl =) http://www.cijoint.fr/cjlink.php?file=cj201111/cijYkJtDsH.txt

Lyonnais92 · Answer

Re,

il faut que tu mettes à jour ta console java 64 bits (update 21 sauf erreur) et, surtout,

que tu mettes à jour Windows en installant le SP1.

Ensuite, on enlèvera les outils inutiles.

lazuligo · Answer

Voilà alors j'ai mis à jour java mais je suis pas sûr de la version j'ai java 6 update 29 (32 bit) et java 6 update 29 (64bit) par contre pour mettre à jour en sp1 je recherche sur windows update mais il me dit que aucune mise à jour n'est disponible Oo dois-je procéder à l'installation manuelle ?

Lyonnais92 · Answer

Re,

regarde si tu peux faire une installation manuelle.

lazuligo · Answer

Voilà windows sp1 est installé, dernière question est que je dois changer mes mdp importants ?

Lyonnais92 · Answer

Re,

il reste à enlever les outils inutiles :

 
 Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage. 
 
===

Tu gardes MBAM et tu l'utilises "de temps en temps" après mise à jour.

===

Pour les mots de passe, les changer régulièrement (et avec des mdp forts) est toujours une sage précaution;

Honnêtement, c'est toi qui voit.

Si tu as des informations bancaires, c'est plutôt oui. Par sécurité.

Lyonnais92 · Answer

Re,

de rien pour l'aide, ce fut avec plaisir.

Rennes8 · Answer

J'ai le même problème, quelqu'un peut m'aider?