Sujet Précédent Sujet Suivant

Virus "Vista Antispyware 2012"

Fermé
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 - 7 déc. 2011 à 00:19
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 - 19 déc. 2011 à 04:05
Bonjour,

J'ai un problème de virus qui ait apparu depuis hier.
Le "Vista Antispyware 2012" s'est incrusté dans mon portable.
J'ai faite le scan du Malwarebytes et du ZHPDiag2(zhpfix)
Je vous demanderez votre aide. S.V.P.
Vous envoie les 2 scan
Merci

A voir également:

60 réponses

Réponse 1 / 60
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
7 déc. 2011 à 01:12
Bonsoir,

coller dans ZHPFix les lignes d'un rapport MBAM a peu de chances de produire de bons résultats.

===

Fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.



Pour transmettre le rapport clique sur pjjoint

Suis les instructions pour déposer le fichier (ZHPDiag.txt est dans C:\ZHP).

Copie le lien obtenu dans ta réponse.
1
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
7 déc. 2011 à 01:58
ah merci pour votre aide !!!
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20111207_h7p14c15d5b13
0
Réponse 2 / 60
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
7 déc. 2011 à 00:20
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Database version: 8323

Windows 6.0.6000
Internet Explorer 8.0.6001.18904

2011-12-06 16:31:10
mbam-log-2011-12-06 (16-31-10).txt

Scan type: Full scan (C:\|D:\|E:\|F:\|)
Objects scanned: 456093
Time elapsed: 1 hour(s), 57 minute(s), 57 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 1
Registry Keys Infected: 36
Registry Values Infected: 17
Registry Data Items Infected: 2
Folders Infected: 0
Files Infected: 5

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
c:\Users\teti\AppData\Roaming\Sun\frenjrupf6.dll (Trojan.Ambler) -> Delete on reboot.

Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF6-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07AA283A-43D7-4CBE-A064-32A21112D94D} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{100EB1FD-D03E-47FD-81F3-EE91287F9465} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A26F07F-0D60-4835-91CF-1E1766A0EC56} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{25560540-9571-4D7B-9389-0F166788785A} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{343CE214-9998-4B21-A151-FFE970167297} (Rogue.Installer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEBF} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEC0} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3DC201FB-E9C9-499C-A11F-23C360D7C3F8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{41C29B07-6F91-4966-91BE-2E2841643C83} (Adware.Adssite) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{54A3F8B7-228E-4ED8-895B-DE832B2C3959} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6FC3C36D-7635-4D43-BA62-0D9D2F2CD06E} (Adware.Fotomoto) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8BCB5337-EC01-4E38-840C-A964F174255B} (Adware.SmartShopper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9FF05104-B030-46FC-94B8-81276E4E27DF} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (Adware.VideoEgg) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5041FD9-4819-4DC4-B20E-C950B5B03D2A} (Adware.VideoEgg) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E3EA4FD1-CADE-4AE5-84F7-086EEE888BE4} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\The Weather Channel (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\AdvRemoteDbg (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VideoEgg (Adware.VideoEgg) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\clickpotatolitesa (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\epk_extr (Trojan.Skintrim) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\hotbarsa (Adware.Hotbar) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Value: {B7D3E479-CC68-42B5-A338-938ECE35F419} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{00A6FAF6-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Value: {00A6FAF6-072E-44CF-8957-5838F569A31D} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07AA283A-43D7-4CBE-A064-32A21112D94D} (Adware.Zango) -> Value: {07AA283A-43D7-4CBE-A064-32A21112D94D} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Value: {07B18EA9-A523-4961-B6BB-170DE4475CCA} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{B7D3E479-CC68-42B5-A338-938ECE35F419} (Adware.Softomate) -> Value: {B7D3E479-CC68-42B5-A338-938ECE35F419} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07AA283A-43D7-4CBE-A064-32A21112D94D} (Adware.Zango) -> Value: {07AA283A-43D7-4CBE-A064-32A21112D94D} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Value: {07B18EA9-A523-4961-B6BB-170DE4475CCA} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{00A6FAF6-072E-44cf-8957-5838F569A31D} (Adware.MyWebSearch) -> Value: {00A6FAF6-072E-44cf-8957-5838F569A31D} -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\MenuExt\&Search\(default) (Adware.Hotbar) -> Value: (default) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> Value: host-domain-lookup.com -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.host-domain-lookup.com (Malware.Trace) -> Value: www.host-domain-lookup.com -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\mysearchnow.com (Malware.Trace) -> Value: mysearchnow.com -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.mysearchnow.com (Malware.Trace) -> Value: www.mysearchnow.com -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ADP (Rogue.Multiple) -> Value: ADP -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WeatherDPA (Adware.SeekMo) -> Value: WeatherDPA -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lpc (Trojan.Ambler) -> Value: lpc -> Quarantined and deleted successfully.

Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (PUM.Hijack.DisplayProperties) -> Bad: (2) Good: (0) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceActiveDesktopOn (PUM.Hijack.Desktop) -> Bad: (1) Good: (0) -> Delete on reboot.

Folders Infected:
(No malicious items detected)

Files Infected:
c:\Users\teti\AppData\LocalLow\Sun\Java\deployment\cache\6.0\22\5c6f0816-6a01913c (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\teti\Desktop\document maman\crazysetup.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\Users\teti\AppData\Roaming\Sun\mxd1.txt (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\teti\AppData\Roaming\Sun\cetw.txt (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\teti\AppData\Roaming\Sun\frenjrupf6.dll (Trojan.Ambler) -> Quarantined and deleted successfully.
0
Réponse 3 / 60
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
7 déc. 2011 à 00:42
lien pour le ZHPFix: https://www.casimages.com/f.php?f=111207124904581767.txt
0
Réponse 4 / 60
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
7 déc. 2011 à 01:07
Petit note: Le virus est sur mon ordi de table et non sur mon portable.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 60
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
7 déc. 2011 à 08:26
Bonjour,

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

===


Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C) 


M3 - MFPP: Plugins - [teti] -- C:\Program Files\Mozilla FireFox\searchplugins\babylon.xml
R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0
O4 - HKCU\..\Run: [teambias] . (...) -- C:\ProgramData\thecitycity.i1j629
O4 - HKCU\..\Run: [Grey pop cake audio] . (...) -- C:\ProgramData\Debug loud glue.yss9ni
O4 - HKUS\S-1-5-21-3265737798-2268617280-2785917639-1003\..\Run: [teambias] . (...) -- C:\ProgramData\thecitycity.i1j629
O4 - HKUS\S-1-5-21-3265737798-2268617280-2785917639-1003\..\Run: [Grey pop cake audio] . (...) -- C:\ProgramData\Debug loud glue.yss9ni
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\rpc.job
O43 - CFD: 2008-11-10 - 07:41:06 - [0] ----D- C:\ProgramData\Part Hide Grey Pop
O69 - SBI: SearchScopes [HKCU] {C164F506-7563-4ADA-B037-4997A39BE897} - (Recherche de Yoog) - http://www28.yoog.com</code>







Déconnecte toi d'Internet et ferme toutes les applications ouvertes.





Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.



Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,

puis sélectionne 'Exécuter en tant qu'administrateur'.



Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.



Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.



Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.



Clique sur "Tous" puis sur "Nettoyer".



Laisse l'outil travailler.



Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.



Le rapport d'exécution va apparaître dans la fenêtre.



Copie le dans ta réponse.



===



Fais redémarrer l'ordi, relance ZHPDiag et poste le rapport dans un lien pjjoint.
0
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
7 déc. 2011 à 13:56
Bonjour !!!
J'ai téléchargé le adwcleaner.exe et transférer dans ma clé USB sur ordi qui fait des siennes et en cliquant sur "exécuter en tant qu'administrateur" le curseur ne fait que tourner comme s'il se chargé de ma demande et n'arrivait pas à ses fins.
0
Réponse 6 / 60
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
7 déc. 2011 à 15:57
Bonjour,

même dans ce cas, il faut que tu exécutes à partir d'une copie faite sur le Bureau de l'ordi malade (pas directement à partir du fichier de la clé).

Tu as un souci de connexion Internet ?
0
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
7 déc. 2011 à 17:33
le logiciel est sur mon bureau de l'ordi malade dans un dossier que j'ai prénommé "Virus Nettoyage" pour me retrouver.
Il ne veut toujours pas exécuter pour installation, il est toujours sous le nom "adwcleaner.exe" et le curseur roule toujours comme s'il essayait de l'ouvrir et rien ne se fait depuis ma manip. de "executer en tant qu'administrateur" et j'ai redémarré et toujours le même problème.
Sur l'ordi malade, la connexion internet tout va
0
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
7 déc. 2011 à 17:43
J'ai ré-essayé pour faire semblant d'executer le logiciel du "Malwarebytes" et il répond à ma demande.
0
Réponse 7 / 60
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
7 déc. 2011 à 17:38
Re,

essaye de le copier sur le Bureau et de l'exécuter à partir de là.

Si il bloque toujours, fais la suite.
0
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
7 déc. 2011 à 19:07
toujours pareil et je dois redémarrer à tout les coups pour que le curseur arrête de tourner.
Bon j'essaie de continuer et je me demande où pourrai-je trouver le presse-papier???
Est-ce que le "bloc note" est la même chose???
0
Réponse 8 / 60
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
7 déc. 2011 à 19:15
Re,

ne cherche pas le Presse Papier, c'est là où Windows stocke ce que tu viens de Copier.

Tu fais Coller (ou Ctrl V) et ça te restitue le contenu du Presse-Papier (dans une réponse, le Bloc Notes, un traitement de texte ou une fenêtre de ZHPFix).

Tant que tu n'as pas Copier autre chose, ta dernière copie reste dans le Presse-Papier.
0
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
7 déc. 2011 à 19:26
il faut comme à chaque fois je copie le tout dans ma clé et le transfère dans mon ordi malade. c'est ça???
0
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
7 déc. 2011 à 19:41
une autre question idiote...
Comment fait-on pour se déconnecter de l'internet???
Mon garçon me dit: fermer le modem
j'essaie de suivre
https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
et je suis perdue
0
Réponse 9 / 60
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
7 déc. 2011 à 20:05
Re,

pour la déconnexion d'Internet, ferme tous tes navigateurs et toutes les autres applications juste avant d'exécuter ZHPFix et ça devrait suffire.

Pour le reste, je ne vois pas bien pourquoi tu passes par ta clé USB.

Tu ouvres ta session sur l'ordi malade, tu ouvres CCM.

Tu sélectionnes les lignes pour ZHPFix que je t'ai donné.

Tu fais CTRL C pour les "copier dans le Presse-Papier.

Tu lances ZHPFix.

Tu copies les lignes dans la fenêtre par CTRL V.

Tu vérifies que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Tu fermes tout sauf ZHPFix.

Tu cliques sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.
0
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
7 déc. 2011 à 20:46
Ça peux-tu que je vous ai oublié de vous dire aussitôt que j'essaie d'ouvrir mon navigateur le virus bloque tout et il affiche plein de fenêtre pour me dire qu'il y a tant de virus et je devrais le scanner avec leur anti-virus et l'acheter pour être plus en sécurité.
C'est en naviguant sur mon portable que je peux aller sur le web.
Je télécharge tout et je transfert sur ma clé USB et aussitôt ouvre mes applications sur l'ordi malade
Je suis désolé si j'ai pu oublier de vous le dire.
0
Réponse 10 / 60
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
7 déc. 2011 à 20:52
Re,

alors on change.

Tu commences par ça :

Avec Internet Explorer - Télécharge Roguekiller : https://www.luanagames.com/index.fr.html

Si il est bloqué à l'exécution, supprime le et recommence le téléchargement.

A ce moment là, tu le renommes en winlogon ou iexplore.

Lance en option 2 (Suppression).

Poste le rapport ici.

===

Ensuite, tu relances Malwarebytes et tu postes le rapport.
0
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
7 déc. 2011 à 21:30
Voici le rapport de RogueKiller j'étais sous navigateur de Mozilla Firefox quand je l'ai télécharger

RogueKiller V6.1.12 [02/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: teti [Droits restreints]
Mode: Suppression -- Date : 07/12/2011 15:16:09

¤¤¤ Processus malicieux: 57 ¤¤¤
[HJ NAME] smss.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] csrss.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] wininit.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] csrss.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] services.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] lsass.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] lsm.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] winlogon.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] spoolsv.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] SearchIndexer.exe -- LOCKED -> NOT KILLED [0x5]
[SUSP PATH] rasdial.exe -- C:\Users\teti\AppData\Roaming\Microsoft\Windows\WSUS\rasdial.exe -> KILLED [TermProc]
[SUSP PATH] fcnDED9.tmp.exe -- C:\Users\teti\AppData\Local\Temp\fcnDED9.tmp.exe -> KILLED [TermProc]
[SVCHOST] svchost.exe -- C:\Windows\system32\svchost.exe -> KILLED [TermProc]
[SVCHOST] svchost.exe -- C:\Windows\system32\svchost.exe -> KILLED [TermProc]
[HJ NAME] SearchProtocolHost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] SearchFilterHost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] dllhost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] smss.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] csrss.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] wininit.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] csrss.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] services.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] lsass.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] lsm.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] winlogon.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] spoolsv.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] SearchIndexer.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] SearchProtocolHost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] SearchFilterHost.exe -- LOCKED -> NOT KILLED [0x5]

¤¤¤ Entrees de registre: 49 ¤¤¤
[BLACKLIST DLL] HKCU\[...]\Run : lpc (rundll32.exe "C:\Users\teti\AppData\Roaming\Sun\frenjrupf6.dll", RegisterDll) -> DELETED
[] HKLM\[...]\Run : () -> ACCESS DENIED
[] HKLM\[...]\RunOnce : () -> ACCESS DENIED
[] HKLM\[...]\Winlogon : () -> ACCESS DENIED
[] HKLM\[...]\Windows : () -> ACCESS DENIED
[] HKLM\[...]\services : () -> ACCESS DENIED
[] HKLM\[...]\services : () -> ACCESS DENIED
[] HKLM\[...]\Root : () -> ACCESS DENIED
[] HKLM\[...]\Root : () -> ACCESS DENIED
[] HKLM\[...]\Internet Settings : () -> ACCESS DENIED
[] HKLM\[...]\Parameters : () -> ACCESS DENIED
[] HKLM\[...]\Parameters : () -> ACCESS DENIED
[] HKLM\[...]\Image File Execution Options : () -> ACCESS DENIED
[] HKCU\[...]\System : () -> ACCESS DENIED
[] HKCU\[...]\System : () -> ACCESS DENIED
[] HKCU\[...]\System : () -> ACCESS DENIED
[] HKCU\[...]\Explorer : () -> ACCESS DENIED
[] HKCU\[...]\Explorer : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKCU\[...]\Explorer : () -> ACCESS DENIED
[] HKLM\[...]\SystemRestore : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKCU\[...]\ActiveDesktop : () -> ACCESS DENIED
[] HKLM\[...]\Security Center : () -> ACCESS DENIED
[] HKLM\[...]\Security Center : () -> ACCESS DENIED
[] HKLM\[...]\Security Center : () -> ACCESS DENIED
[] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
[] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
[] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
[] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
[] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[] HKLM\[...]\command : () -> ACCESS DENIED
[] HKLM\[...]\command : () -> ACCESS DENIED
[] HKLM\[...]\command : () -> ACCESS DENIED
[] HKLM\[...]\command : () -> ACCESS DENIED
[] HKCR\[...]\InprocServer32 : () -> ACCESS DENIED
[] HKLM\[...]\Windows : () -> ACCESS DENIED
[] HKLM\[...]\ShellServiceObjectDelayLoad : () -> ACCESS DENIED
[] HKLM\[...]\SharedTaskScheduler : () -> ACCESS DENIED
[] HKLM\[...]\Browser Helper Objects : () -> ACCESS DENIED

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt


Et là, j'ai relancé Malwarebytes et scan sur tout les disques de mon ordi sur table celle qui est malade.
Je t'envoie ça dès que c'est fini
0
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
7 déc. 2011 à 23:26
Le scan du Malwarebytes

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8327

Windows 6.0.6000
Internet Explorer 8.0.6001.18904

2011-12-07 17:01:21
mbam-log-2011-12-07 (17-01-21).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 455853
Temps écoulé: 1 heure(s), 36 minute(s), 51 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\Users\teti\AppData\Roaming\Sun\frenjrupf6.dll (Trojan.Ambler) -> Delete on reboot.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rasdial (Trojan.Agent) -> Value: rasdial -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lpc (Trojan.Ambler) -> Value: lpc -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (PUM.Hijack.DisplayProperties) -> Bad: (2) Good: (0) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceActiveDesktopOn (PUM.Hijack.Desktop) -> Bad: (1) Good: (0) -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\teti\AppData\Roaming\microsoft\Windows\WSUS\rasdial.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\teti\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\RIKC8FR2\rundll32[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\teti\AppData\Local\Temp\fcnded9.tmp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\teti\Desktop\rk_quarantine\fcnded9.tmp.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\teti\Desktop\rk_quarantine\rasdial.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\teti\AppData\Roaming\Sun\mxd1.txt (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\teti\AppData\Roaming\Sun\cetw.txt (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\teti\AppData\Roaming\Sun\frenjrupf6.dll (Trojan.Ambler) -> Quarantined and deleted successfully.
c:\Users\teti\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
0
Réponse 11 / 60
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
7 déc. 2011 à 21:37
Re,

tu enchaineras avec AdwCleaner puis ZHPFix.
0
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
7 déc. 2011 à 23:47
o.k. là j'essaie de partir AdwCleaner et il fait le même problème le curseur ne fait que rouler et aussi une fenêtre s'ouvre disant que l'antivirus Vista antispyware 2012 a détectée ce logiciel adwCleaner est infecté...
0
Réponse 12 / 60
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
7 déc. 2011 à 23:33
Re,

donc AdwCleaner puis ZHPFix.

Ensuite, tu fais redémarrer l'ordi et tu refais tourner ZHPDiag.

Tu postes le rapport dans un lien pjjoint.
0
Réponse 13 / 60
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
7 déc. 2011 à 23:59
Re,

tu supprimes AdwCleaner que tu as téléchargé.

Tu relances RogueKiller en option Suppression.

Tu relances Malwarebytes.

Tu fais redémarrer l'ordi.

Tu relances RogueKiller en option Suppression.

Tu postes les 3 rapports.
0
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
8 déc. 2011 à 00:17
pour le Malwarebytes lequel dois-je cliquer ???
rapide-complet-éclair
0
Réponse 14 / 60
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
8 déc. 2011 à 00:42
Re,

un scan rapide.
0
Réponse 15 / 60
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
8 déc. 2011 à 01:38
Le scan du RogueKiller

RogueKiller V6.1.12 [02/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: teti [Droits restreints]
Mode: Suppression -- Date : 07/12/2011 18:14:36

¤¤¤ Processus malicieux: 54 ¤¤¤
[WINDOW : Vista Antispyware 2012] yla.exe -- C:\Users\teti\AppData\Local\yla.exe -> KILLED [TermProc]
[HJ NAME] smss.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] csrss.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] wininit.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] csrss.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] services.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] lsass.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] lsm.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] winlogon.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] spoolsv.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] SearchIndexer.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] SearchProtocolHost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] SearchFilterHost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] dllhost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] smss.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] csrss.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] wininit.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] csrss.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] services.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] lsass.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] lsm.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] winlogon.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] spoolsv.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] SearchIndexer.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] SearchProtocolHost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] SearchFilterHost.exe -- LOCKED -> NOT KILLED [0x5]

¤¤¤ Entrees de registre: 46 ¤¤¤
[] HKLM\[...]\Run : () -> ACCESS DENIED
[] HKLM\[...]\RunOnce : () -> ACCESS DENIED
[] HKLM\[...]\Winlogon : () -> ACCESS DENIED
[] HKLM\[...]\Windows : () -> ACCESS DENIED
[] HKLM\[...]\services : () -> ACCESS DENIED
[] HKLM\[...]\services : () -> ACCESS DENIED
[] HKLM\[...]\Root : () -> ACCESS DENIED
[] HKLM\[...]\Root : () -> ACCESS DENIED
[] HKLM\[...]\Internet Settings : () -> ACCESS DENIED
[] HKLM\[...]\Parameters : () -> ACCESS DENIED
[] HKLM\[...]\Parameters : () -> ACCESS DENIED
[] HKLM\[...]\Image File Execution Options : () -> ACCESS DENIED
[] HKCU\[...]\System : () -> ACCESS DENIED
[] HKCU\[...]\System : () -> ACCESS DENIED
[] HKCU\[...]\System : () -> ACCESS DENIED
[] HKCU\[...]\Explorer : () -> ACCESS DENIED
[] HKCU\[...]\Explorer : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKCU\[...]\Explorer : () -> ACCESS DENIED
[] HKLM\[...]\SystemRestore : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKCU\[...]\ActiveDesktop : () -> ACCESS DENIED
[] HKLM\[...]\Security Center : () -> ACCESS DENIED
[] HKLM\[...]\Security Center : () -> ACCESS DENIED
[] HKLM\[...]\Security Center : () -> ACCESS DENIED
[] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
[] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
[] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
[] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
[] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
[] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\teti\AppData\Local\yla.exe" -a "%1" %*) -> REPLACED ("%1" %*)
[] HKLM\[...]\command : () -> ACCESS DENIED
[FILE ASSO] HKCR\.exe : (ah) -> REPLACED (exefile)
[] HKLM\[...]\command : () -> ACCESS DENIED
[] HKLM\[...]\command : () -> ACCESS DENIED
[] HKLM\[...]\command : () -> ACCESS DENIED
[] HKCR\[...]\InprocServer32 : () -> ACCESS DENIED
[] HKLM\[...]\Windows : () -> ACCESS DENIED
[] HKLM\[...]\ShellServiceObjectDelayLoad : () -> ACCESS DENIED
[] HKLM\[...]\SharedTaskScheduler : () -> ACCESS DENIED
[] HKLM\[...]\Browser Helper Objects : () -> ACCESS DENIED

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost


Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
0
Réponse 16 / 60
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
8 déc. 2011 à 01:40
Scan du Malwarebytes

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8327

Windows 6.0.6000
Internet Explorer 8.0.6001.18904

2011-12-07 19:24:41
mbam-log-2011-12-07 (19-24-41).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 203552
Temps écoulé: 8 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (PUM.Hijack.DisplayProperties) -> Bad: (2) Good: (0) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceActiveDesktopOn (PUM.Hijack.Desktop) -> Bad: (1) Good: (0) -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 17 / 60
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
8 déc. 2011 à 01:41
Et le dernier scan du RogueKiller

RogueKiller V6.1.12 [02/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: teti [Droits restreints]
Mode: Suppression -- Date : 07/12/2011 19:32:22

¤¤¤ Processus malicieux: 48 ¤¤¤
[HJ NAME] smss.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] csrss.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] wininit.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] csrss.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] services.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] lsass.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] lsm.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] winlogon.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] spoolsv.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] SearchIndexer.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] smss.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] csrss.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] wininit.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] csrss.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] services.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] lsass.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] lsm.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] winlogon.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] spoolsv.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] SearchIndexer.exe -- LOCKED -> NOT KILLED [0x5]

¤¤¤ Entrees de registre: 44 ¤¤¤
[] HKLM\[...]\Run : () -> ACCESS DENIED
[] HKLM\[...]\RunOnce : () -> ACCESS DENIED
[] HKLM\[...]\Winlogon : () -> ACCESS DENIED
[] HKLM\[...]\Windows : () -> ACCESS DENIED
[] HKLM\[...]\services : () -> ACCESS DENIED
[] HKLM\[...]\services : () -> ACCESS DENIED
[] HKLM\[...]\Root : () -> ACCESS DENIED
[] HKLM\[...]\Root : () -> ACCESS DENIED
[] HKLM\[...]\Internet Settings : () -> ACCESS DENIED
[] HKLM\[...]\Parameters : () -> ACCESS DENIED
[] HKLM\[...]\Parameters : () -> ACCESS DENIED
[] HKLM\[...]\Image File Execution Options : () -> ACCESS DENIED
[] HKCU\[...]\System : () -> ACCESS DENIED
[] HKCU\[...]\System : () -> ACCESS DENIED
[] HKCU\[...]\System : () -> ACCESS DENIED
[] HKCU\[...]\Explorer : () -> ACCESS DENIED
[] HKCU\[...]\Explorer : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKCU\[...]\Explorer : () -> ACCESS DENIED
[] HKLM\[...]\SystemRestore : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKCU\[...]\ActiveDesktop : () -> ACCESS DENIED
[] HKLM\[...]\Security Center : () -> ACCESS DENIED
[] HKLM\[...]\Security Center : () -> ACCESS DENIED
[] HKLM\[...]\Security Center : () -> ACCESS DENIED
[] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
[] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
[] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
[] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
[] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
[] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
[] HKLM\[...]\command : () -> ACCESS DENIED
[] HKLM\[...]\command : () -> ACCESS DENIED
[] HKLM\[...]\command : () -> ACCESS DENIED
[] HKLM\[...]\command : () -> ACCESS DENIED
[] HKCR\[...]\InprocServer32 : () -> ACCESS DENIED
[] HKLM\[...]\Windows : () -> ACCESS DENIED
[] HKLM\[...]\ShellServiceObjectDelayLoad : () -> ACCESS DENIED
[] HKLM\[...]\SharedTaskScheduler : () -> ACCESS DENIED
[] HKLM\[...]\Browser Helper Objects : () -> ACCESS DENIED

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost


Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
0
Réponse 18 / 60
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
8 déc. 2011 à 01:52
Re,

tu fais ce qui est dit là :

https://forums.commentcamarche.net/forum/affich-23834398-virus-vista-antispyware-2012#6

Ensuite,

il faut vérifier un fichier.

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Users\teti\AppData\Local\yla.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant
0
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
8 déc. 2011 à 02:15
Qu'est-ce que je fais pour le AdwCleaner.exe ???
J'ai re-téléchargé et toujours le même problème
0
Réponse 19 / 60
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
8 déc. 2011 à 08:42
Bonjour,

saute l'étape AdwCleaner et continue.
0
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
8 déc. 2011 à 14:28
rapport du ZHPFix

Rapport de ZHPFix 1.12.3373 par Nicolas Coolman, Update du 24/11/2011
Fichier d'export Registre :
Run by teti at 2011-12-08 07:32:59
Windows Vista Home Premium Edition, 32-bit (Build 6000)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ABSENT SearchScopes :{C164F506-7563-4ADA-B037-4997A39BE897}

========== Valeur(s) du Registre ==========
ABSENT RunValue: teambias
ABSENT RunValue: Grey pop cake audio

========== Elément(s) de donnée du Registre ==========
SUPPRIME PhishingFilter Value: Enabled = 0

========== Dossier(s) ==========
SUPPRIME Reboot Folder**: C:\ProgramData\Part Hide Grey Pop

========== Fichier(s) ==========
SUPPRIME Reboot c:\program files\mozilla firefox\searchplugins\babylon.xml
SUPPRIME Reboot c:\programdata\thecitycity.i1j629
SUPPRIME Reboot c:\programdata\debug loud glue.yss9ni
SUPPRIME Reboot c:\windows\tasks\rpc.job


========== Récapitulatif ==========
1 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
4 : Fichier(s)


End of clean in 00mn 07s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 2011-12-06 17:05:39 [11567]
C:\ZHP\ZHPFix[R2].txt - 2011-12-07 14:52:37 [1365]
C:\ZHP\ZHPFix[R3].txt - 2011-12-08 07:33:00 [1289]
0
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
8 déc. 2011 à 14:29
rapport ZHPDiag
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20111208_t8k5d12q12x12

la suite suivra...
0
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
8 déc. 2011 à 14:50
En cherchant manuellement ce fichier : C:\Users\teti\AppData\Local\yla.exe ... le virus est ré-apparu car vers 1:40hres il était comme endormi et je pouvais aller sur le web il n'avait plus de restriction de sa part. Maintenant je ne peux pu
0
Réponse 20 / 60
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
8 déc. 2011 à 17:46
Re,

on va essayer comme ça :

1) tu relances RogueKiller mode suppression

2) tu lances ZHPFix avec ces lignes 

M3 - MFPP: Plugins - [teti] -- C:\Program Files\Mozilla FireFox\searchplugins\babylon.xml
R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0
O4 - HKCU\..\Run: [teambias] . (...) -- C:\ProgramData\thecitycity.i1j629
O4 - HKCU\..\Run: [Grey pop cake audio] . (...) -- C:\ProgramData\Debug loud glue.yss9ni
O4 - HKUS\S-1-5-21-3265737798-2268617280-2785917639-1003\..\Run: [teambias] . (...) -- C:\ProgramData\thecitycity.i1j629
O4 - HKUS\S-1-5-21-3265737798-2268617280-2785917639-1003\..\Run: [Grey pop cake audio] . (...) -- C:\ProgramData\Debug loud glue.yss9ni
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\rpc.job
O43 - CFD: 2008-11-10 - 07:41:06 - [0] ----D- C:\ProgramData\Part Hide Grey Pop
O69 - SBI: SearchScopes [HKCU] {C164F506-7563-4ADA-B037-4997A39BE897} - (Recherche de Yoog) - http://www28.yoog.com
[MD5.2EF8C01D6ED381216094906F9DB04E2C] [SPRF][2011-12-05] (.Microsoft Corporation - Microsoft DirectPlay8 Lobby.) -- C:\Users\teti\AppData\Local\yla.exe   [280064]
O67 - Shell Spawning: <.exe> <ah>[HKCU\..\open\Command] (.Microsoft Corporation - Microsoft DirectPlay8 Lobby.) -- C:\Users\teti\AppData\Local\yla.exe
O67 - Shell Spawning: <.exe> <ah>[HKCR\..\open\Command] (.Microsoft Corporation - Microsoft DirectPlay8 Lobby.) -- C:\Users\teti\AppData\Local\yla.exe


3) tu relances MBAM en scan rapide;

4) tu fais redémarrer l'ordi, tu relances ZHPDiag.

Tu postes :

- le rapport de RogueKiller

- le rapport de ZHPFix

- le rapport de MBAM

- le rapport de ZHPDiag (lui, dans un lien pjjoint).

===

Il y a un mécanisme qui regénère l'infection.

Ma première hypothèse est que ça passe par le fichier que je voulais te faire analyser.

Si elle se révèle fausse, on ira chercher du côté des rootkits.
0
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
8 déc. 2011 à 21:00
Le rapport de RogueKiller

RogueKiller V6.1.12 [02/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: teti [Droits restreints]
Mode: Suppression -- Date : 08/12/2011 13:07:17

¤¤¤ Processus malicieux: 49 ¤¤¤
[WINDOW : Vista Antispyware 2012] yla.exe -- C:\Users\teti\AppData\Local\yla.exe -> KILLED [TermProc]
[HJ NAME] smss.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] csrss.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] wininit.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] csrss.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] services.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] lsass.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] lsm.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] winlogon.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] spoolsv.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[HJ NAME] SearchIndexer.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] smss.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] csrss.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] wininit.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] csrss.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] services.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] lsass.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] lsm.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] winlogon.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] spoolsv.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] svchost.exe -- LOCKED -> NOT KILLED [0x5]
[RESIDUE] SearchIndexer.exe -- LOCKED -> NOT KILLED [0x5]

¤¤¤ Entrees de registre: 46 ¤¤¤
[] HKLM\[...]\Run : () -> ACCESS DENIED
[] HKLM\[...]\RunOnce : () -> ACCESS DENIED
[] HKLM\[...]\Winlogon : () -> ACCESS DENIED
[] HKLM\[...]\Windows : () -> ACCESS DENIED
[] HKLM\[...]\services : () -> ACCESS DENIED
[] HKLM\[...]\services : () -> ACCESS DENIED
[] HKLM\[...]\Root : () -> ACCESS DENIED
[] HKLM\[...]\Root : () -> ACCESS DENIED
[] HKLM\[...]\Internet Settings : () -> ACCESS DENIED
[] HKLM\[...]\Parameters : () -> ACCESS DENIED
[] HKLM\[...]\Parameters : () -> ACCESS DENIED
[] HKLM\[...]\Image File Execution Options : () -> ACCESS DENIED
[] HKCU\[...]\System : () -> ACCESS DENIED
[] HKCU\[...]\System : () -> ACCESS DENIED
[] HKCU\[...]\System : () -> ACCESS DENIED
[] HKCU\[...]\Explorer : () -> ACCESS DENIED
[] HKCU\[...]\Explorer : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKCU\[...]\Explorer : () -> ACCESS DENIED
[] HKLM\[...]\SystemRestore : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKLM\[...]\System : () -> ACCESS DENIED
[] HKCU\[...]\ActiveDesktop : () -> ACCESS DENIED
[] HKLM\[...]\Security Center : () -> ACCESS DENIED
[] HKLM\[...]\Security Center : () -> ACCESS DENIED
[] HKLM\[...]\Security Center : () -> ACCESS DENIED
[] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
[] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
[] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
[] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
[] HKLM\[...]\ClassicStartMenu : () -> ACCESS DENIED
[] HKLM\[...]\NewStartPanel : () -> ACCESS DENIED
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\teti\AppData\Local\yla.exe" -a "%1" %*) -> REPLACED ("%1" %*)
[] HKLM\[...]\command : () -> ACCESS DENIED
[FILE ASSO] HKCR\.exe : (ah) -> REPLACED (exefile)
[] HKLM\[...]\command : () -> ACCESS DENIED
[] HKLM\[...]\command : () -> ACCESS DENIED
[] HKLM\[...]\command : () -> ACCESS DENIED
[] HKCR\[...]\InprocServer32 : () -> ACCESS DENIED
[] HKLM\[...]\Windows : () -> ACCESS DENIED
[] HKLM\[...]\ShellServiceObjectDelayLoad : () -> ACCESS DENIED
[] HKLM\[...]\SharedTaskScheduler : () -> ACCESS DENIED
[] HKLM\[...]\Browser Helper Objects : () -> ACCESS DENIED

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt
0
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
8 déc. 2011 à 21:01
Le rapport de ZHPFix

Rapport de ZHPFix 1.12.3373 par Nicolas Coolman, Update du 24/11/2011
Fichier d'export Registre :
Run by teti at 2011-12-08 13:14:03
Windows Vista Home Premium Edition, 32-bit (Build 6000)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\teti\AppData\Local\yla.exe

========== Clé(s) du Registre ==========
ABSENT SearchScopes :{C164F506-7563-4ADA-B037-4997A39BE897}

========== Valeur(s) du Registre ==========
ABSENT RunValue: teambias
ABSENT RunValue: Grey pop cake audio

========== Elément(s) de donnée du Registre ==========
SUPPRIME Pointeurs: ah(exe) Default=

========== Dossier(s) ==========
SUPPRIME Reboot Folder**: C:\ProgramData\Part Hide Grey Pop

========== Fichier(s) ==========
SUPPRIME Reboot c:\program files\mozilla firefox\searchplugins\babylon.xml
SUPPRIME Reboot c:\programdata\thecitycity.i1j629
SUPPRIME Reboot c:\programdata\debug loud glue.yss9ni
SUPPRIME Reboot c:\windows\tasks\rpc.job
SUPPRIME File*: c:\users\teti\appdata\local\yla.exe
ABSENT File: c:\users\teti\appdata\local\yla.exe


========== Récapitulatif ==========
1 : Processus mémoire
1 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
6 : Fichier(s)


End of clean in 00mn 02s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 2011-12-06 17:05:39 [11567]
C:\ZHP\ZHPFix[R2].txt - 2011-12-07 14:52:37 [1365]
C:\ZHP\ZHPFix[R3].txt - 2011-12-08 07:33:00 [1341]
C:\ZHP\ZHPFix[R4].txt - 2011-12-08 13:14:03 [1566]
0
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
8 déc. 2011 à 21:02
Le rapport de MBAM

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8332

Windows 6.0.6000
Internet Explorer 8.0.6001.18904

2011-12-08 14:18:14
mbam-log-2011-12-08 (14-18-14).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 203843
Temps écoulé: 9 minute(s), 33 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\AH (Rogue.MultipleAV) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\ah\Content Type (Rogue.MultipleAV) -> Value: Content Type -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (PUM.Hijack.DisplayProperties) -> Bad: (2) Good: (0) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceActiveDesktopOn (PUM.Hijack.Desktop) -> Bad: (1) Good: (0) -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
yankuan Messages postés 244 Date d'inscription jeudi 21 juin 2007 Statut Membre Dernière intervention 19 décembre 2011 110
8 déc. 2011 à 21:03
Et le dernier rapport de ZHPDiag

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20111208_g6d12o9w6o15
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Télécharger musique MP3 gratuitement avec Tubidy
X-Eddy_18-X -
567890 -

26 réponses