Virus "Vista Antispyware 2012"

yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   -  
yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,

J'ai un problème de virus qui ait apparu depuis hier.
Le "Vista Antispyware 2012" s'est incrusté dans mon portable.
J'ai faite le scan du Malwarebytes et du ZHPDiag2(zhpfix)
Je vous demanderez votre aide. S.V.P.
Vous envoie les 2 scan
Merci

60 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un problème de logiciel malveillant survient sur Windows Vista, avec l’infection Vista Antispyware 2012 détectée; des analyses avec Malwarebytes et ZHPDiag ont été lancées pour évaluer l’étendue. Pour remédier à la situation, il faut exécuter ZHPFix en administrateur, laisser l’analyse se dérouler et transmettre les rapports ZHPDiag.txt via un dépôt en ligne sécurisé. Des analyses complémentaires évoquent RogueKiller et Rogue.AntiSpy-AH, avec des discussions sur la vérification des sessions, l’installation du SP2 via Windows Update et la défragmentation régulière. En outre, les rapports de détection et les éléments du registre, lorsque disponibles, peuvent nécessiter des droits d’administration et une exécution dans la session problématique pour éviter les messages d’accès refusé.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    coller dans ZHPFix les lignes d'un rapport MBAM a peu de chances de produire de bons résultats.

    ===

    Fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

    /|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur pjjoint

    Suis les instructions pour déposer le fichier (ZHPDiag.txt est dans C:\ZHP).

    Copie le lien obtenu dans ta réponse.
    1
  2. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
     
    Malwarebytes' Anti-Malware 1.51.2.1300
    www.malwarebytes.org

    Database version: 8323

    Windows 6.0.6000
    Internet Explorer 8.0.6001.18904

    2011-12-06 16:31:10
    mbam-log-2011-12-06 (16-31-10).txt

    Scan type: Full scan (C:\|D:\|E:\|F:\|)
    Objects scanned: 456093
    Time elapsed: 1 hour(s), 57 minute(s), 57 second(s)

    Memory Processes Infected: 0
    Memory Modules Infected: 1
    Registry Keys Infected: 36
    Registry Values Infected: 17
    Registry Data Items Infected: 2
    Folders Infected: 0
    Files Infected: 5

    Memory Processes Infected:
    (No malicious items detected)

    Memory Modules Infected:
    c:\Users\teti\AppData\Roaming\Sun\frenjrupf6.dll (Trojan.Ambler) -> Delete on reboot.

    Registry Keys Infected:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF6-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07AA283A-43D7-4CBE-A064-32A21112D94D} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{100EB1FD-D03E-47FD-81F3-EE91287F9465} (Adware.ShopperReports) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A26F07F-0D60-4835-91CF-1E1766A0EC56} (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{25560540-9571-4D7B-9389-0F166788785A} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{343CE214-9998-4B21-A151-FFE970167297} (Rogue.Installer) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEBF} (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEC0} (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3DC201FB-E9C9-499C-A11F-23C360D7C3F8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{41C29B07-6F91-4966-91BE-2E2841643C83} (Adware.Adssite) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{54A3F8B7-228E-4ED8-895B-DE832B2C3959} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6FC3C36D-7635-4D43-BA62-0D9D2F2CD06E} (Adware.Fotomoto) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8BCB5337-EC01-4E38-840C-A964F174255B} (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9FF05104-B030-46FC-94B8-81276E4E27DF} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (Adware.VideoEgg) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5041FD9-4819-4DC4-B20E-C950B5B03D2A} (Adware.VideoEgg) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E3EA4FD1-CADE-4AE5-84F7-086EEE888BE4} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\The Weather Channel (Adware.Hotbar) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\AdvRemoteDbg (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VideoEgg (Adware.VideoEgg) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\clickpotatolitesa (Adware.ClickPotato) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\epk_extr (Trojan.Skintrim) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\hotbarsa (Adware.Hotbar) -> Quarantined and deleted successfully.

    Registry Values Infected:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Value: {B7D3E479-CC68-42B5-A338-938ECE35F419} -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{00A6FAF6-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Value: {00A6FAF6-072E-44CF-8957-5838F569A31D} -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07AA283A-43D7-4CBE-A064-32A21112D94D} (Adware.Zango) -> Value: {07AA283A-43D7-4CBE-A064-32A21112D94D} -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Value: {07B18EA9-A523-4961-B6BB-170DE4475CCA} -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Value: {B7D3E479-CC68-42B5-A338-938ECE35F419} -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07AA283A-43D7-4CBE-A064-32A21112D94D} (Adware.Zango) -> Value: {07AA283A-43D7-4CBE-A064-32A21112D94D} -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Value: {07B18EA9-A523-4961-B6BB-170DE4475CCA} -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{00A6FAF6-072E-44cf-8957-5838F569A31D} (Adware.MyWebSearch) -> Value: {00A6FAF6-072E-44cf-8957-5838F569A31D} -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\MenuExt\&Search\(default) (Adware.Hotbar) -> Value: (default) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> Value: host-domain-lookup.com -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.host-domain-lookup.com (Malware.Trace) -> Value: www.host-domain-lookup.com -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\mysearchnow.com (Malware.Trace) -> Value: mysearchnow.com -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.mysearchnow.com (Malware.Trace) -> Value: www.mysearchnow.com -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ADP (Rogue.Multiple) -> Value: ADP -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WeatherDPA (Adware.SeekMo) -> Value: WeatherDPA -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lpc (Trojan.Ambler) -> Value: lpc -> Quarantined and deleted successfully.

    Registry Data Items Infected:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (PUM.Hijack.DisplayProperties) -> Bad: (2) Good: (0) -> Delete on reboot.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceActiveDesktopOn (PUM.Hijack.Desktop) -> Bad: (1) Good: (0) -> Delete on reboot.

    Folders Infected:
    (No malicious items detected)

    Files Infected:
    c:\Users\teti\AppData\LocalLow\Sun\Java\deployment\cache\6.0\22\5c6f0816-6a01913c (Trojan.Dropper) -> Quarantined and deleted successfully.
    c:\Users\teti\Desktop\document maman\crazysetup.exe (Adware.Agent) -> Quarantined and deleted successfully.
    c:\Users\teti\AppData\Roaming\Sun\mxd1.txt (Malware.Trace) -> Quarantined and deleted successfully.
    c:\Users\teti\AppData\Roaming\Sun\cetw.txt (Malware.Trace) -> Quarantined and deleted successfully.
    c:\Users\teti\AppData\Roaming\Sun\frenjrupf6.dll (Trojan.Ambler) -> Quarantined and deleted successfully.
    0
  3. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
     
    Petit note: Le virus est sur mon ordi de table et non sur mon portable.
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    ===

    Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

    M3 - MFPP: Plugins - [teti] -- C:\Program Files\Mozilla FireFox\searchplugins\babylon.xml
    R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0
    O4 - HKCU\..\Run: [teambias] . (...) -- C:\ProgramData\thecitycity.i1j629
    O4 - HKCU\..\Run: [Grey pop cake audio] . (...) -- C:\ProgramData\Debug loud glue.yss9ni
    O4 - HKUS\S-1-5-21-3265737798-2268617280-2785917639-1003\..\Run: [teambias] . (...) -- C:\ProgramData\thecitycity.i1j629
    O4 - HKUS\S-1-5-21-3265737798-2268617280-2785917639-1003\..\Run: [Grey pop cake audio] . (...) -- C:\ProgramData\Debug loud glue.yss9ni
    O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\rpc.job
    O43 - CFD: 2008-11-10 - 07:41:06 - [0] ----D- C:\ProgramData\Part Hide Grey Pop
    O69 - SBI: SearchScopes [HKCU] {C164F506-7563-4ADA-B037-4997A39BE897} - (Recherche de Yoog) - http://www28.yoog.com</code>
    

    Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

    Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

    Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
    puis sélectionne 'Exécuter en tant qu'administrateur'.

    Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

    Clique sur "Tous" puis sur "Nettoyer".

    Laisse l'outil travailler.

    Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

    Le rapport d'exécution va apparaître dans la fenêtre.

    Copie le dans ta réponse.

    ===

    Fais redémarrer l'ordi, relance ZHPDiag et poste le rapport dans un lien pjjoint.
    0
    1. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
       
      Bonjour !!!
      J'ai téléchargé le adwcleaner.exe et transférer dans ma clé USB sur ordi qui fait des siennes et en cliquant sur "exécuter en tant qu'administrateur" le curseur ne fait que tourner comme s'il se chargé de ma demande et n'arrivait pas à ses fins.
      0
  6. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    même dans ce cas, il faut que tu exécutes à partir d'une copie faite sur le Bureau de l'ordi malade (pas directement à partir du fichier de la clé).

    Tu as un souci de connexion Internet ?
    0
    1. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
       
      le logiciel est sur mon bureau de l'ordi malade dans un dossier que j'ai prénommé "Virus Nettoyage" pour me retrouver.
      Il ne veut toujours pas exécuter pour installation, il est toujours sous le nom "adwcleaner.exe" et le curseur roule toujours comme s'il essayait de l'ouvrir et rien ne se fait depuis ma manip. de "executer en tant qu'administrateur" et j'ai redémarré et toujours le même problème.
      Sur l'ordi malade, la connexion internet tout va
      0
    2. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
       
      J'ai ré-essayé pour faire semblant d'executer le logiciel du "Malwarebytes" et il répond à ma demande.
      0
  7. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    essaye de le copier sur le Bureau et de l'exécuter à partir de là.

    Si il bloque toujours, fais la suite.
    0
    1. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
       
      toujours pareil et je dois redémarrer à tout les coups pour que le curseur arrête de tourner.
      Bon j'essaie de continuer et je me demande où pourrai-je trouver le presse-papier???
      Est-ce que le "bloc note" est la même chose???
      0
  8. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    ne cherche pas le Presse Papier, c'est là où Windows stocke ce que tu viens de Copier.

    Tu fais Coller (ou Ctrl V) et ça te restitue le contenu du Presse-Papier (dans une réponse, le Bloc Notes, un traitement de texte ou une fenêtre de ZHPFix).

    Tant que tu n'as pas Copier autre chose, ta dernière copie reste dans le Presse-Papier.
    0
    1. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
       
      il faut comme à chaque fois je copie le tout dans ma clé et le transfère dans mon ordi malade. c'est ça???
      0
  9. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    pour la déconnexion d'Internet, ferme tous tes navigateurs et toutes les autres applications juste avant d'exécuter ZHPFix et ça devrait suffire.

    Pour le reste, je ne vois pas bien pourquoi tu passes par ta clé USB.

    Tu ouvres ta session sur l'ordi malade, tu ouvres CCM.

    Tu sélectionnes les lignes pour ZHPFix que je t'ai donné.

    Tu fais CTRL C pour les "copier dans le Presse-Papier.

    Tu lances ZHPFix.

    Tu copies les lignes dans la fenêtre par CTRL V.

    Tu vérifies que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Tu fermes tout sauf ZHPFix.

    Tu cliques sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

    Clique sur "Tous" puis sur "Nettoyer".

    Laisse l'outil travailler.

    Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

    Le rapport d'exécution va apparaître dans la fenêtre.

    Copie le dans ta réponse.
    0
    1. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
       
      Ça peux-tu que je vous ai oublié de vous dire aussitôt que j'essaie d'ouvrir mon navigateur le virus bloque tout et il affiche plein de fenêtre pour me dire qu'il y a tant de virus et je devrais le scanner avec leur anti-virus et l'acheter pour être plus en sécurité.
      C'est en naviguant sur mon portable que je peux aller sur le web.
      Je télécharge tout et je transfert sur ma clé USB et aussitôt ouvre mes applications sur l'ordi malade
      Je suis désolé si j'ai pu oublier de vous le dire.
      0
  10. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    alors on change.

    Tu commences par ça :

    Avec Internet Explorer - Télécharge Roguekiller : https://www.luanagames.com/index.fr.html

    Si il est bloqué à l'exécution, supprime le et recommence le téléchargement.

    A ce moment là, tu le renommes en winlogon ou iexplore.

    Lance en option 2 (Suppression).

    Poste le rapport ici.

    ===

    Ensuite, tu relances Malwarebytes et tu postes le rapport.
    0
    1. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
       
      Voici le rapport de RogueKiller j'étais sous navigateur de Mozilla Firefox quand je l'ai télécharger

      RogueKiller V6.1.12 [02/12/2011] par Tigzy
      mail: tigzyRK<at>gmail<dot>com
      Remontees: https://www.luanagames.com/index.fr.html
      Blog: http://tigzyrk.blogspot.com

      Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
      Demarrage : Mode normal
      Utilisateur: teti [Droits restreints]
      Mode: Suppression -- Date : 07/12/2011 15:16:09

      ¤¤¤ Processus malicieux: 57 ¤¤¤
      [HJ NAME] smss.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] csrss.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] wininit.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] csrss.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] services.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] lsass.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] lsm.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] winlogon.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] spoolsv.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] SearchIndexer.exe -- LOCKED -> NOT KILLED [0x5]
      [SUSP PATH] rasdial.exe -- C:\Users\teti\AppData\Roaming\Microsoft\Windows\WSUS\rasdial.exe -> KILLED [TermProc]
      [SUSP PATH] fcnDED9.tmp.exe -- C:\Users\teti\AppData\Local\Temp\fcnDED9.tmp.exe -> KILLED [TermProc]
      [SVCHOST] svchost.exe -- C:\Windows\system32\svchost.exe -> KILLED [TermProc]
      [SVCHOST] svchost.exe -- C:\Windows\system32\svchost.exe -> KILLED [TermProc]
      [HJ NAME] SearchProtocolHost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] SearchFilterHost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] dllhost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] smss.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] csrss.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] wininit.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] csrss.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] services.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] lsass.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] lsm.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] winlogon.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] spoolsv.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] SearchIndexer.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] SearchProtocolHost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] SearchFilterHost.exe -- LOCKED -> NOT KILLED [0x5]

      ¤¤¤ Entrees de registre: 49 ¤¤¤
      [BLACKLIST DLL] HKCU\[...]\Run : lpc (rundll32.exe "C:\Users\teti\AppData\Roaming\Sun\frenjrupf6.dll", RegisterDll) -> DELETED
      [] HKLM\[...]\Run : () -> ACCESS DENIED
      [] HKLM\[...]\RunOnce : () -> ACCESS DENIED
      [] HKLM\[...]\Winlogon : () -> ACCESS DENIED
      [] HKLM\[...]\Windows : () -> ACCESS DENIED
      [] HKLM\[...]\services : () -> ACCESS DENIED
      [] HKLM\[...]\services : () -> ACCESS DENIED
      [] HKLM\[...]\Root : () -> ACCESS DENIED
      [] HKLM\[...]\Root : () -> ACCESS DENIED
      [] HKLM\[...]\Internet Settings : () -> ACCESS DENIED
      [] HKLM\[...]\Parameters : () -> ACCESS DENIED
      [] HKLM\[...]\Parameters : () -> ACCESS DENIED
      [] HKLM\[...]\Image File Execution Options : () -> ACCESS DENIED
      [] HKCU\[...]\System : () -> ACCESS DENIED
      [] HKCU\[...]\System : () -> ACCESS DENIED
      [] HKCU\[...]\System : () -> ACCESS DENIED
      [] HKCU\[...]\Explorer : () -> ACCESS DENIED
      [] HKCU\[...]\Explorer : () -> ACCESS DENIED
      [] HKLM\[...]\System : () -> ACCESS DENIED
      [] HKLM\[...]\System : () -> ACCESS DENIED
      [] HKLM\[...]\System : () -> ACCESS DENIED
      [] HKCU\[...]\Explorer : () -> ACCESS DENIED
      [] HKLM\[...]\SystemRestore : () -> ACCESS DENIED
      [] HKLM\[...]\System : () -> ACCESS DENIED
      [] HKLM\[...]\System : () -> ACCESS DENIED
      [] HKLM\[...]\System : () -> ACCESS DENIED
      [] HKCU\[...]\ActiveDesktop : () -> ACCESS DENIED
      [] HKLM\[...]\Security Center : () -> ACCESS DENIED
      [] HKLM\[...]\Security Center : () -> ACCESS DENIED
      [] HKLM\[...]\Security Center : () -> ACCESS DENIED
      [] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
      [] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
      [] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
      [] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
      [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
      [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
      [] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
      [] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
      [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
      [HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
      [] HKLM\[...]\command : () -> ACCESS DENIED
      [] HKLM\[...]\command : () -> ACCESS DENIED
      [] HKLM\[...]\command : () -> ACCESS DENIED
      [] HKLM\[...]\command : () -> ACCESS DENIED
      [] HKCR\[...]\InprocServer32 : () -> ACCESS DENIED
      [] HKLM\[...]\Windows : () -> ACCESS DENIED
      [] HKLM\[...]\ShellServiceObjectDelayLoad : () -> ACCESS DENIED
      [] HKLM\[...]\SharedTaskScheduler : () -> ACCESS DENIED
      [] HKLM\[...]\Browser Helper Objects : () -> ACCESS DENIED

      ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

      ¤¤¤ Driver: [NOT LOADED] ¤¤¤

      ¤¤¤ Infection : ¤¤¤

      ¤¤¤ Fichier HOSTS: ¤¤¤
      127.0.0.1 localhost
      ::1 localhost


      Termine : << RKreport[1].txt >>
      RKreport[1].txt


      Et là, j'ai relancé Malwarebytes et scan sur tout les disques de mon ordi sur table celle qui est malade.
      Je t'envoie ça dès que c'est fini
      0
    2. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
       
      Le scan du Malwarebytes

      Malwarebytes' Anti-Malware 1.51.2.1300
      www.malwarebytes.org

      Version de la base de données: 8327

      Windows 6.0.6000
      Internet Explorer 8.0.6001.18904

      2011-12-07 17:01:21
      mbam-log-2011-12-07 (17-01-21).txt

      Type d'examen: Examen complet (C:\|D:\|E:\|)
      Elément(s) analysé(s): 455853
      Temps écoulé: 1 heure(s), 36 minute(s), 51 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 1
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 3
      Elément(s) de données du Registre infecté(s): 2
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 9

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      c:\Users\teti\AppData\Roaming\Sun\frenjrupf6.dll (Trojan.Ambler) -> Delete on reboot.

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rasdial (Trojan.Agent) -> Value: rasdial -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lpc (Trojan.Ambler) -> Value: lpc -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (PUM.Hijack.DisplayProperties) -> Bad: (2) Good: (0) -> Delete on reboot.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceActiveDesktopOn (PUM.Hijack.Desktop) -> Bad: (1) Good: (0) -> Delete on reboot.

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      c:\Users\teti\AppData\Roaming\microsoft\Windows\WSUS\rasdial.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      c:\Users\teti\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\RIKC8FR2\rundll32[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
      c:\Users\teti\AppData\Local\Temp\fcnded9.tmp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      c:\Users\teti\Desktop\rk_quarantine\fcnded9.tmp.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
      c:\Users\teti\Desktop\rk_quarantine\rasdial.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
      c:\Users\teti\AppData\Roaming\Sun\mxd1.txt (Malware.Trace) -> Quarantined and deleted successfully.
      c:\Users\teti\AppData\Roaming\Sun\cetw.txt (Malware.Trace) -> Quarantined and deleted successfully.
      c:\Users\teti\AppData\Roaming\Sun\frenjrupf6.dll (Trojan.Ambler) -> Quarantined and deleted successfully.
      c:\Users\teti\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
      0
  11. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    tu enchaineras avec AdwCleaner puis ZHPFix.
    0
    1. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
       
      o.k. là j'essaie de partir AdwCleaner et il fait le même problème le curseur ne fait que rouler et aussi une fenêtre s'ouvre disant que l'antivirus Vista antispyware 2012 a détectée ce logiciel adwCleaner est infecté...
      0
  12. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    donc AdwCleaner puis ZHPFix.

    Ensuite, tu fais redémarrer l'ordi et tu refais tourner ZHPDiag.

    Tu postes le rapport dans un lien pjjoint.
    0
  13. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    tu supprimes AdwCleaner que tu as téléchargé.

    Tu relances RogueKiller en option Suppression.

    Tu relances Malwarebytes.

    Tu fais redémarrer l'ordi.

    Tu relances RogueKiller en option Suppression.

    Tu postes les 3 rapports.
    0
    1. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
       
      pour le Malwarebytes lequel dois-je cliquer ???
      rapide-complet-éclair
      0
  14. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    un scan rapide.
    0
  15. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
     
    Le scan du RogueKiller

    RogueKiller V6.1.12 [02/12/2011] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
    Demarrage : Mode normal
    Utilisateur: teti [Droits restreints]
    Mode: Suppression -- Date : 07/12/2011 18:14:36

    ¤¤¤ Processus malicieux: 54 ¤¤¤
    [WINDOW : Vista Antispyware 2012] yla.exe -- C:\Users\teti\AppData\Local\yla.exe -> KILLED [TermProc]
    [HJ NAME] smss.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] csrss.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] wininit.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] csrss.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] services.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] lsass.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] lsm.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] winlogon.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] spoolsv.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] SearchIndexer.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] SearchProtocolHost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] SearchFilterHost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] dllhost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] smss.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] csrss.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] wininit.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] csrss.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] services.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] lsass.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] lsm.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] winlogon.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] spoolsv.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] SearchIndexer.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] SearchProtocolHost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] SearchFilterHost.exe -- LOCKED -> NOT KILLED [0x5]

    ¤¤¤ Entrees de registre: 46 ¤¤¤
    [] HKLM\[...]\Run : () -> ACCESS DENIED
    [] HKLM\[...]\RunOnce : () -> ACCESS DENIED
    [] HKLM\[...]\Winlogon : () -> ACCESS DENIED
    [] HKLM\[...]\Windows : () -> ACCESS DENIED
    [] HKLM\[...]\services : () -> ACCESS DENIED
    [] HKLM\[...]\services : () -> ACCESS DENIED
    [] HKLM\[...]\Root : () -> ACCESS DENIED
    [] HKLM\[...]\Root : () -> ACCESS DENIED
    [] HKLM\[...]\Internet Settings : () -> ACCESS DENIED
    [] HKLM\[...]\Parameters : () -> ACCESS DENIED
    [] HKLM\[...]\Parameters : () -> ACCESS DENIED
    [] HKLM\[...]\Image File Execution Options : () -> ACCESS DENIED
    [] HKCU\[...]\System : () -> ACCESS DENIED
    [] HKCU\[...]\System : () -> ACCESS DENIED
    [] HKCU\[...]\System : () -> ACCESS DENIED
    [] HKCU\[...]\Explorer : () -> ACCESS DENIED
    [] HKCU\[...]\Explorer : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKCU\[...]\Explorer : () -> ACCESS DENIED
    [] HKLM\[...]\SystemRestore : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKCU\[...]\ActiveDesktop : () -> ACCESS DENIED
    [] HKLM\[...]\Security Center : () -> ACCESS DENIED
    [] HKLM\[...]\Security Center : () -> ACCESS DENIED
    [] HKLM\[...]\Security Center : () -> ACCESS DENIED
    [] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
    [] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
    [] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
    [] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
    [] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
    [] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
    [FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\teti\AppData\Local\yla.exe" -a "%1" %*) -> REPLACED ("%1" %*)
    [] HKLM\[...]\command : () -> ACCESS DENIED
    [FILE ASSO] HKCR\.exe : (ah) -> REPLACED (exefile)
    [] HKLM\[...]\command : () -> ACCESS DENIED
    [] HKLM\[...]\command : () -> ACCESS DENIED
    [] HKLM\[...]\command : () -> ACCESS DENIED
    [] HKCR\[...]\InprocServer32 : () -> ACCESS DENIED
    [] HKLM\[...]\Windows : () -> ACCESS DENIED
    [] HKLM\[...]\ShellServiceObjectDelayLoad : () -> ACCESS DENIED
    [] HKLM\[...]\SharedTaskScheduler : () -> ACCESS DENIED
    [] HKLM\[...]\Browser Helper Objects : () -> ACCESS DENIED

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NOT LOADED] ¤¤¤

    ¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost
    ::1 localhost

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  16. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
     
    Scan du Malwarebytes

    Malwarebytes' Anti-Malware 1.51.2.1300
    www.malwarebytes.org

    Version de la base de données: 8327

    Windows 6.0.6000
    Internet Explorer 8.0.6001.18904

    2011-12-07 19:24:41
    mbam-log-2011-12-07 (19-24-41).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 203552
    Temps écoulé: 8 minute(s), 29 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 2
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (PUM.Hijack.DisplayProperties) -> Bad: (2) Good: (0) -> Delete on reboot.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceActiveDesktopOn (PUM.Hijack.Desktop) -> Bad: (1) Good: (0) -> Delete on reboot.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  17. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
     
    Et le dernier scan du RogueKiller

    RogueKiller V6.1.12 [02/12/2011] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
    Demarrage : Mode normal
    Utilisateur: teti [Droits restreints]
    Mode: Suppression -- Date : 07/12/2011 19:32:22

    ¤¤¤ Processus malicieux: 48 ¤¤¤
    [HJ NAME] smss.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] csrss.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] wininit.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] csrss.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] services.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] lsass.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] lsm.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] winlogon.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] spoolsv.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [HJ NAME] SearchIndexer.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] smss.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] csrss.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] wininit.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] csrss.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] services.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] lsass.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] lsm.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] winlogon.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] spoolsv.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
    [RESIDUE] SearchIndexer.exe -- LOCKED -> NOT KILLED [0x5]

    ¤¤¤ Entrees de registre: 44 ¤¤¤
    [] HKLM\[...]\Run : () -> ACCESS DENIED
    [] HKLM\[...]\RunOnce : () -> ACCESS DENIED
    [] HKLM\[...]\Winlogon : () -> ACCESS DENIED
    [] HKLM\[...]\Windows : () -> ACCESS DENIED
    [] HKLM\[...]\services : () -> ACCESS DENIED
    [] HKLM\[...]\services : () -> ACCESS DENIED
    [] HKLM\[...]\Root : () -> ACCESS DENIED
    [] HKLM\[...]\Root : () -> ACCESS DENIED
    [] HKLM\[...]\Internet Settings : () -> ACCESS DENIED
    [] HKLM\[...]\Parameters : () -> ACCESS DENIED
    [] HKLM\[...]\Parameters : () -> ACCESS DENIED
    [] HKLM\[...]\Image File Execution Options : () -> ACCESS DENIED
    [] HKCU\[...]\System : () -> ACCESS DENIED
    [] HKCU\[...]\System : () -> ACCESS DENIED
    [] HKCU\[...]\System : () -> ACCESS DENIED
    [] HKCU\[...]\Explorer : () -> ACCESS DENIED
    [] HKCU\[...]\Explorer : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKCU\[...]\Explorer : () -> ACCESS DENIED
    [] HKLM\[...]\SystemRestore : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKLM\[...]\System : () -> ACCESS DENIED
    [] HKCU\[...]\ActiveDesktop : () -> ACCESS DENIED
    [] HKLM\[...]\Security Center : () -> ACCESS DENIED
    [] HKLM\[...]\Security Center : () -> ACCESS DENIED
    [] HKLM\[...]\Security Center : () -> ACCESS DENIED
    [] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
    [] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
    [] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
    [] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
    [] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
    [] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
    [] HKLM\[...]\command : () -> ACCESS DENIED
    [] HKLM\[...]\command : () -> ACCESS DENIED
    [] HKLM\[...]\command : () -> ACCESS DENIED
    [] HKLM\[...]\command : () -> ACCESS DENIED
    [] HKCR\[...]\InprocServer32 : () -> ACCESS DENIED
    [] HKLM\[...]\Windows : () -> ACCESS DENIED
    [] HKLM\[...]\ShellServiceObjectDelayLoad : () -> ACCESS DENIED
    [] HKLM\[...]\SharedTaskScheduler : () -> ACCESS DENIED
    [] HKLM\[...]\Browser Helper Objects : () -> ACCESS DENIED

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NOT LOADED] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost
    ::1 localhost

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
    0
  18. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    tu fais ce qui est dit là :

    https://forums.commentcamarche.net/forum/affich-23834398-virus-vista-antispyware-2012#6

    Ensuite,

    il faut vérifier un fichier.

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier : C:\Users\teti\AppData\Local\yla.exe

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant
    0
    1. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
       
      Qu'est-ce que je fais pour le AdwCleaner.exe ???
      J'ai re-téléchargé et toujours le même problème
      0
  19. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    saute l'étape AdwCleaner et continue.
    0
    1. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
       
      rapport du ZHPFix

      Rapport de ZHPFix 1.12.3373 par Nicolas Coolman, Update du 24/11/2011
      Fichier d'export Registre :
      Run by teti at 2011-12-08 07:32:59
      Windows Vista Home Premium Edition, 32-bit (Build 6000)
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

      ========== Clé(s) du Registre ==========
      ABSENT SearchScopes :{C164F506-7563-4ADA-B037-4997A39BE897}

      ========== Valeur(s) du Registre ==========
      ABSENT RunValue: teambias
      ABSENT RunValue: Grey pop cake audio

      ========== Elément(s) de donnée du Registre ==========
      SUPPRIME PhishingFilter Value: Enabled = 0

      ========== Dossier(s) ==========
      SUPPRIME Reboot Folder**: C:\ProgramData\Part Hide Grey Pop

      ========== Fichier(s) ==========
      SUPPRIME Reboot c:\program files\mozilla firefox\searchplugins\babylon.xml
      SUPPRIME Reboot c:\programdata\thecitycity.i1j629
      SUPPRIME Reboot c:\programdata\debug loud glue.yss9ni
      SUPPRIME Reboot c:\windows\tasks\rpc.job


      ========== Récapitulatif ==========
      1 : Clé(s) du Registre
      2 : Valeur(s) du Registre
      1 : Elément(s) de donnée du Registre
      1 : Dossier(s)
      4 : Fichier(s)


      End of clean in 00mn 07s

      ========== Chemin de fichier rapport ==========
      C:\ZHP\ZHPFix[R1].txt - 2011-12-06 17:05:39 [11567]
      C:\ZHP\ZHPFix[R2].txt - 2011-12-07 14:52:37 [1365]
      C:\ZHP\ZHPFix[R3].txt - 2011-12-08 07:33:00 [1289]
      0
    2. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
       
      En cherchant manuellement ce fichier : C:\Users\teti\AppData\Local\yla.exe ... le virus est ré-apparu car vers 1:40hres il était comme endormi et je pouvais aller sur le web il n'avait plus de restriction de sa part. Maintenant je ne peux pu
      0
  20. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    on va essayer comme ça :

    1) tu relances RogueKiller mode suppression

    2) tu lances ZHPFix avec ces lignes

    M3 - MFPP: Plugins - [teti] -- C:\Program Files\Mozilla FireFox\searchplugins\babylon.xml
    R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0
    O4 - HKCU\..\Run: [teambias] . (...) -- C:\ProgramData\thecitycity.i1j629
    O4 - HKCU\..\Run: [Grey pop cake audio] . (...) -- C:\ProgramData\Debug loud glue.yss9ni
    O4 - HKUS\S-1-5-21-3265737798-2268617280-2785917639-1003\..\Run: [teambias] . (...) -- C:\ProgramData\thecitycity.i1j629
    O4 - HKUS\S-1-5-21-3265737798-2268617280-2785917639-1003\..\Run: [Grey pop cake audio] . (...) -- C:\ProgramData\Debug loud glue.yss9ni
    O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\rpc.job
    O43 - CFD: 2008-11-10 - 07:41:06 - [0] ----D- C:\ProgramData\Part Hide Grey Pop
    O69 - SBI: SearchScopes [HKCU] {C164F506-7563-4ADA-B037-4997A39BE897} - (Recherche de Yoog) - http://www28.yoog.com
    [MD5.2EF8C01D6ED381216094906F9DB04E2C] [SPRF][2011-12-05] (.Microsoft Corporation - Microsoft DirectPlay8 Lobby.) -- C:\Users\teti\AppData\Local\yla.exe   [280064]
    O67 - Shell Spawning: <.exe> <ah>[HKCU\..\open\Command] (.Microsoft Corporation - Microsoft DirectPlay8 Lobby.) -- C:\Users\teti\AppData\Local\yla.exe
    O67 - Shell Spawning: <.exe> <ah>[HKCR\..\open\Command] (.Microsoft Corporation - Microsoft DirectPlay8 Lobby.) -- C:\Users\teti\AppData\Local\yla.exe


    3) tu relances MBAM en scan rapide;

    4) tu fais redémarrer l'ordi, tu relances ZHPDiag.

    Tu postes :

    - le rapport de RogueKiller

    - le rapport de ZHPFix

    - le rapport de MBAM

    - le rapport de ZHPDiag (lui, dans un lien pjjoint).

    ===

    Il y a un mécanisme qui regénère l'infection.

    Ma première hypothèse est que ça passe par le fichier que je voulais te faire analyser.

    Si elle se révèle fausse, on ira chercher du côté des rootkits.
    0
    1. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
       
      Le rapport de RogueKiller

      RogueKiller V6.1.12 [02/12/2011] par Tigzy
      mail: tigzyRK<at>gmail<dot>com
      Remontees: https://www.luanagames.com/index.fr.html
      Blog: http://tigzyrk.blogspot.com

      Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
      Demarrage : Mode normal
      Utilisateur: teti [Droits restreints]
      Mode: Suppression -- Date : 08/12/2011 13:07:17

      ¤¤¤ Processus malicieux: 49 ¤¤¤
      [WINDOW : Vista Antispyware 2012] yla.exe -- C:\Users\teti\AppData\Local\yla.exe -> KILLED [TermProc]
      [HJ NAME] smss.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] csrss.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] wininit.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] csrss.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] services.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] lsass.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] lsm.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] winlogon.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] spoolsv.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [HJ NAME] SearchIndexer.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] smss.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] csrss.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] wininit.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] csrss.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] services.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] lsass.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] lsm.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] winlogon.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] spoolsv.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
      [RESIDUE] SearchIndexer.exe -- LOCKED -> NOT KILLED [0x5]

      ¤¤¤ Entrees de registre: 46 ¤¤¤
      [] HKLM\[...]\Run : () -> ACCESS DENIED
      [] HKLM\[...]\RunOnce : () -> ACCESS DENIED
      [] HKLM\[...]\Winlogon : () -> ACCESS DENIED
      [] HKLM\[...]\Windows : () -> ACCESS DENIED
      [] HKLM\[...]\services : () -> ACCESS DENIED
      [] HKLM\[...]\services : () -> ACCESS DENIED
      [] HKLM\[...]\Root : () -> ACCESS DENIED
      [] HKLM\[...]\Root : () -> ACCESS DENIED
      [] HKLM\[...]\Internet Settings : () -> ACCESS DENIED
      [] HKLM\[...]\Parameters : () -> ACCESS DENIED
      [] HKLM\[...]\Parameters : () -> ACCESS DENIED
      [] HKLM\[...]\Image File Execution Options : () -> ACCESS DENIED
      [] HKCU\[...]\System : () -> ACCESS DENIED
      [] HKCU\[...]\System : () -> ACCESS DENIED
      [] HKCU\[...]\System : () -> ACCESS DENIED
      [] HKCU\[...]\Explorer : () -> ACCESS DENIED
      [] HKCU\[...]\Explorer : () -> ACCESS DENIED
      [] HKLM\[...]\System : () -> ACCESS DENIED
      [] HKLM\[...]\System : () -> ACCESS DENIED
      [] HKLM\[...]\System : () -> ACCESS DENIED
      [] HKCU\[...]\Explorer : () -> ACCESS DENIED
      [] HKLM\[...]\SystemRestore : () -> ACCESS DENIED
      [] HKLM\[...]\System : () -> ACCESS DENIED
      [] HKLM\[...]\System : () -> ACCESS DENIED
      [] HKLM\[...]\System : () -> ACCESS DENIED
      [] HKCU\[...]\ActiveDesktop : () -> ACCESS DENIED
      [] HKLM\[...]\Security Center : () -> ACCESS DENIED
      [] HKLM\[...]\Security Center : () -> ACCESS DENIED
      [] HKLM\[...]\Security Center : () -> ACCESS DENIED
      [] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
      [] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
      [] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
      [] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
      [] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
      [] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
      [FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\teti\AppData\Local\yla.exe" -a "%1" %*) -> REPLACED ("%1" %*)
      [] HKLM\[...]\command : () -> ACCESS DENIED
      [FILE ASSO] HKCR\.exe : (ah) -> REPLACED (exefile)
      [] HKLM\[...]\command : () -> ACCESS DENIED
      [] HKLM\[...]\command : () -> ACCESS DENIED
      [] HKLM\[...]\command : () -> ACCESS DENIED
      [] HKCR\[...]\InprocServer32 : () -> ACCESS DENIED
      [] HKLM\[...]\Windows : () -> ACCESS DENIED
      [] HKLM\[...]\ShellServiceObjectDelayLoad : () -> ACCESS DENIED
      [] HKLM\[...]\SharedTaskScheduler : () -> ACCESS DENIED
      [] HKLM\[...]\Browser Helper Objects : () -> ACCESS DENIED

      ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

      ¤¤¤ Driver: [NOT LOADED] ¤¤¤

      ¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

      ¤¤¤ Fichier HOSTS: ¤¤¤
      127.0.0.1 localhost
      ::1 localhost


      Termine : << RKreport[1].txt >>
      RKreport[1].txt
      0
    2. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
       
      Le rapport de ZHPFix

      Rapport de ZHPFix 1.12.3373 par Nicolas Coolman, Update du 24/11/2011
      Fichier d'export Registre :
      Run by teti at 2011-12-08 13:14:03
      Windows Vista Home Premium Edition, 32-bit (Build 6000)
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

      ========== Processus mémoire ==========
      SUPPRIME Memory Process: C:\Users\teti\AppData\Local\yla.exe

      ========== Clé(s) du Registre ==========
      ABSENT SearchScopes :{C164F506-7563-4ADA-B037-4997A39BE897}

      ========== Valeur(s) du Registre ==========
      ABSENT RunValue: teambias
      ABSENT RunValue: Grey pop cake audio

      ========== Elément(s) de donnée du Registre ==========
      SUPPRIME Pointeurs: ah(exe) Default=

      ========== Dossier(s) ==========
      SUPPRIME Reboot Folder**: C:\ProgramData\Part Hide Grey Pop

      ========== Fichier(s) ==========
      SUPPRIME Reboot c:\program files\mozilla firefox\searchplugins\babylon.xml
      SUPPRIME Reboot c:\programdata\thecitycity.i1j629
      SUPPRIME Reboot c:\programdata\debug loud glue.yss9ni
      SUPPRIME Reboot c:\windows\tasks\rpc.job
      SUPPRIME File*: c:\users\teti\appdata\local\yla.exe
      ABSENT File: c:\users\teti\appdata\local\yla.exe


      ========== Récapitulatif ==========
      1 : Processus mémoire
      1 : Clé(s) du Registre
      2 : Valeur(s) du Registre
      1 : Elément(s) de donnée du Registre
      1 : Dossier(s)
      6 : Fichier(s)


      End of clean in 00mn 02s

      ========== Chemin de fichier rapport ==========
      C:\ZHP\ZHPFix[R1].txt - 2011-12-06 17:05:39 [11567]
      C:\ZHP\ZHPFix[R2].txt - 2011-12-07 14:52:37 [1365]
      C:\ZHP\ZHPFix[R3].txt - 2011-12-08 07:33:00 [1341]
      C:\ZHP\ZHPFix[R4].txt - 2011-12-08 13:14:03 [1566]
      0
    3. yankuan Messages postés 139 Date d'inscription   Statut Membre Dernière intervention   110
       
      Le rapport de MBAM

      Malwarebytes' Anti-Malware 1.51.2.1300
      www.malwarebytes.org

      Version de la base de données: 8332

      Windows 6.0.6000
      Internet Explorer 8.0.6001.18904

      2011-12-08 14:18:14
      mbam-log-2011-12-08 (14-18-14).txt

      Type d'examen: Examen rapide
      Elément(s) analysé(s): 203843
      Temps écoulé: 9 minute(s), 33 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 1
      Valeur(s) du Registre infectée(s): 1
      Elément(s) de données du Registre infecté(s): 2
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CLASSES_ROOT\AH (Rogue.MultipleAV) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_CLASSES_ROOT\ah\Content Type (Rogue.MultipleAV) -> Value: Content Type -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (PUM.Hijack.DisplayProperties) -> Bad: (2) Good: (0) -> Delete on reboot.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceActiveDesktopOn (PUM.Hijack.Desktop) -> Bad: (1) Good: (0) -> Delete on reboot.

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
  • 1
  • 2
  • 3