ashDisp.exe Fermé

Question

Bonjour, J'ai suivi les instructions du sujet ashDisp.exe is infected. Voilà où j'en suis rendue. quelqu'un peut-il me dire quel est le problème? RogueKiller V6.1.7 [05/11/2011] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur: amandine [Droits d'admin] Mode: Recherche -- Date : 05/11/2011 18:17:19 ¤¤¤ Processus malicieux: 1 ¤¤¤ [SUSP PATH] eE21712LnBkF21712.exe -- C:\ProgramData\eE21712LnBkF21712\eE21712LnBkF21712.exe -> KILLED [TermProc] ¤¤¤ Entrees de registre: 4 ¤¤¤ [SUSP PATH] HKCU\[...]\RunOnce : eE21712LnBkF21712 (C:\ProgramData\eE21712LnBkF21712\eE21712LnBkF21712.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-2958975914-2051788354-3880748414-1000[...]\RunOnce : eE21712LnBkF21712 (C:\ProgramData\eE21712LnBkF21712\eE21712LnBkF21712.exe) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ::1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt

juju666 · Answer

Bonjour,

Lance RogueKiller option 2 et poste le rapport ;)

Tu as des fichiers de disparus ?

juju666 · Answer

Ok.

&#9654 Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
&#9654 Effectue la mise à jour et lance Malwarebytes' Anti-Malware

&#9654 &#9654 Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

&#9654 Clique dans l'onglet du haut "Recherche"
&#9654 Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
&#9654 Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

&#9654 Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

&#9654 Clique sur OK puis "Afficher les résultats"
&#9654 Choisis l'option "Supprimer la sélection"
&#9654 Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#9654 Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#9654 Sinon le rapport s'ouvre automatiquement après la suppression

Quelque soit le résultat, copie/colle le rapport dans le prochain message

juju666 · Answer

:>

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Recherche] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

juju666 · Answer

Ahah nickel :-) continuons :

&#9654  Télécharge AD-Remover sur ton Bureau : (TeamXScript) 

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel ) 
OU 
https://www.androidworld.fr/ ( Miroir ) 

/!\ Ferme toutes applications en cours /!\ 

&#9654 Double-clique sur l'icône Ad-remover située sur ton Bureau. 
&#9654 Sur la page, clique sur le bouton « Scanner » 
&#9654 Confirme le lancement du scan 
&#9654 Laisse travailler l'outil. 
&#9654 Quand il a fini, un rapport s'ouvrira : ferme le.

&#9830 Pour me transmettre le rapport

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Ad-Report-SCAN[1].txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

juju666 · Answer

Let's go pour le nettoyage !

&#9654 Relance AD-Remover, clique sur [ Nettoyer ]
&#9654 Laisse le pc redémarrer.
&#9654 Une fois revenu sur le bureau, le rapport devrait s'ouvrir : ferme-le

&#9830 Pour me transmettre le rapport

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Ad-Report-CLEAN[1].txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

juju666 · Answer

C'est good tout ça :D

Nous allons effectuer un diagnostic de ton PC: 

&#9654 Télécharge ZHPDiag 

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et  "Exécuter ZHPDiag" 

&#9654 Clique sur l'icône représentant un tournevis vert et coche tout, puis sur l'icone représentant une loupe (« Lancer le diagnostic ») 

&#9654 Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau.

Voici comment procéder

&#9654 Rends toi sur pjjoint.malekal.com 
&#9654 Clique sur le bouton Parcourir 
&#9654 Sélectionne le fichier que tu veux héberger et clique sur Ouvrir 
&#9654 Clique sur le bouton Envoyer 
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 

&#9654 Copie le lien dans ta prochaine réponse. 

A bientôt.

juju666 · Answer

Re salut Amandine :-)

Désolé, le dimanche, on prend l'apéro ^^
Il y a encore quelques traces qu'on va nettoyer tout de suite ;-)
Où en sont tes soucis ? ça va mieux? 

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )    


O42 - Logiciel: iMesh - (.iMesh Inc..) [HKLM] -- {8FB495A1-4A3F-4C1D-BD27-3F3AB2E66763}    => Infection PUP (PUP.iMesh)
[HKCU\Software\AppDataLow\Software\imeshmediabartb]    => Infection PUP (PUP.iMesh)
[HKLM\Software\iMeshMediabarTb]    => Infection PUP (PUP.iMesh)
O43 - CFD: 04/09/2011 - 19:07:18 - [3172] ----D- C:\ProgramData\11F7    => Infection Rogue (Possible)
O43 - CFD: 28/10/2009 - 15:34:32 - [2329] ----D- C:\ProgramData\1E39B    => Infection Rogue (Possible)
O43 - CFD: 11/04/2011 - 09:03:48 - [3172] ----D- C:\ProgramData\2E192    => Infection Rogue (Possible)
O61 - LFC:Last File Created 06/11/2011 - 11:36:30 ---A- C:\Users\amandine\AppData\Local\Temp\au-descriptor-uac-1.6.0_20-b76.xml   [8857]    => Infection Rootkit (Rootkit.Agent)
C:\ProgramData\11F7    => Infection Rogue (Possible)
C:\ProgramData\1E39B    => Infection Rogue (Possible)
C:\ProgramData\2E192    => Infection Rogue (Possible)
O87 - FAEL: "{96BB70DE-FA59-436B-8B74-DF26DBBE55D1}" |In - Domain - P6 - TRUE | .(...) -- C:\Program Files\iMesh Applications\iMesh\iMesh.exe (.not file.)    => Infection PUP (PUP.iMesh)
O87 - FAEL: "{FFF86B0E-8B2A-4123-B94A-56B45D599834}" |In - Domain - P17 - TRUE | .(...) -- C:\Program Files\iMesh Applications\iMesh\iMesh.exe (.not file.)    => Infection PUP (PUP.iMesh)
O87 - FAEL: "{5637A66E-49F7-4835-8E09-92D656F79D5F}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files\iMesh Applications\iMesh\iMesh.exe (.not file.)    => Infection PUP (PUP.iMesh)
O87 - FAEL: "{7EB37D2E-9583-4314-8B25-FE3429076421}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files\iMesh Applications\iMesh\iMesh.exe (.not file.)    => Infection PUP (PUP.iMesh)
[HKLM\Software\Classes\AppID\iMesh.exe]    => Infection PUP (PUP.iMesh)
[HKLM\Software\Classes\imweb.imwebcontrol]    => Infection PUP (PUP.iMesh)
[HKLM\Software\Classes
ctaudiocdwriter2.audiocdwriter2]    => Infection BT (Adware.RecordNRip)
[HKLM\Software\Classes
ctaudiocdwriter2.audiocdwriter2.1]    => Infection BT (Adware.RecordNRip)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]    => Infection BT (Spyware.BHO)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a}]    => Infection BT (Adware.PopCap)
[HKCU\Software\AppDataLow\Software\iMeshMediabarTB]    => Infection PUP (PUP.iMesh)
[HKLM\Software\iMeshMediabarTB]    => Infection PUP (PUP.iMesh)
O44 - LFC:[MD5.C7B9AEAF27696614D09E0AE065D773DE] - 05/11/2011 - 13:17:38 ---A- . (...) -- C:\Windows\0   [208]    => 
[HKLM\Software\Classes\AppID\DiscoveryHelper.DLL]    => Toolbar.BearShare
[HKLM\Software\Classes\AppID\GIFAnimator.DLL]    => Toolbar.BearShare
[HKLM\Software\Classes\AppID\IMTrProgress.DLL]    => Toolbar.BearShare
[HKLM\Software\Classes\AppID\IMWeb.DLL]    => Toolbar.BearShare
[HKLM\Software\Classes\AppID\Launcher.EXE]    => Toolbar.BearShare
[HKLM\Software\Classes\AppID\NCTAudioCDGrabber2.DLL]    => Toolbar.BearShare
[HKLM\Software\Classes\AppID\NCTAudioCompress3.DLL]    => Toolbar.BearShare
[HKLM\Software\Classes\AppID\NCTAudioFile3.DLL]    => Toolbar.BearShare
[HKLM\Software\Classes\AppID\NCTAudioFileWMA3.DLL]    => Toolbar.BearShare
[HKLM\Software\Classes\AppID\NCTAudioFormatSettings3.DLL]    => Toolbar.BearShare
[HKLM\Software\Classes\AppID\WMHelper.DLL]    => Toolbar.BearShare

EMPTYTEMP
EMPTYFLASH


&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .   

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).   

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.   

&#9654 Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.   

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage 

&#9654 Copie/Colle le rapport à l''écran dans ton prochain message   

Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)

juju666 · Answer

Comme antivirus tu peux choisir entre :

- Avast 6
- Microsoft Security Essentials
- Avira Antivir 10
- AVG Free Antivirus 2011

=> Tu installe un de ces 4 là, tu me fais un scan complet et ensuite on termine :)

AshDisp.exe

8 réponses