XP ANTIVIRUS 2012Résolu/Fermé

Question

Bonjour à tous,

Un de mes ordis, apres avoir attrappé le malware GENDARMERIE NATIONALE (résolu) est maintenant infecté par XP ANTIVIRUS 2012, 

Quelqu'un peut il m'aider?
Je voudrai savoir si, en prenant le disque dur infecté, en le plaçant dans un boitier externe, et en le branchant en USB sur mon ordi non infecté, je peux lancer un scan avec MALWAREBITES' ANTIMALWARE ???? cela pourrait il marcher ????

Merci par avance de vos réponses.

crapoulou · Answer

Bonjour,

Ton PC tourne-t-il sous XP, Vista ou Windows 7 ?
Il vaut mieux éviter de brancher ton disque dur infecté dans un PC sain afin de ne pas infecter le second !
Sion, c'est une boucle infernale !

PAPRIKA35 · Answer

Bonjour il est sous XP, 
Je suis allée sur le sujet posté par DJOHANNE sur le meme probleme, et j'ai fait ce qu'à indiqué g3n-h@ckm@n, j'ai fait préscan.pif (le seul qui se lançait) et j'ai posté le rapport sur malekal.com, en voici le lien : https://pjjoint.malekal.com/files.php?id=20111226_l14r8p9m7e14
je n'y comprends rien de plus :)))
merci pour la suite

PAPRIKA35 · Answer

Nouvelle donnée: apres le préscan j'ai réussi à lancer MALWAREBYTES et c'est en cours là... bonne nouvelle ou pas ?

crapoulou · Answer

Je te laisse poster le rapport Malwarebytes' Anti Malware (MBAM) une fois terminé.
Procède à la suppression.

A toute à l'heure.
Le virus est toujours là, pas de miracle. ;-)

PAPRIKA35 · Answer

Voici le rapport de MALWAREBITES :
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 7622

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

26/12/2011 11:51:33
mbam-log-2011-12-26 (11-51-33).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 296232
Temps écoulé: 46 minute(s), 32 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Winsudate (Adware.GibMedia) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


J'ai tout supprimé.
Tu dis que le virus n'est pas parti, mais pourquoi n'apparait il plus ??
Explique moi merci

crapoulou · Answer

Pre_Scan n'est pas mon outil de Pre_dilection ;-). Je pense qu'il n'est pas exécuté mais toujours présents (fichiers source, dropper et autres fichiers vérolés). _______________ Télécharge ZHPDiag sur ton bureau : = = = = =>>>En cliquant ici <<<= = = = = = Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions pour l'installer. N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer ou lance le automatiquement lors de la fin de l'installation. /!\ L'outil crée 2 icônes ZHPDiag et ZHPFix /!\ Si une fenêtre de licencs SigCheck s'ouvre... accepte, si tu as un parefeu qui demande si SigCheck tente de se connecter à internet, accepte également. Clique sur le tournevis en haut à droite de ZHPDiag et clique sur "Tous" pour cocher toutes les cases. Clique sur la loupe pour lancer l'analyse. Laisse l'outil travailler, il peut être assez long, c'est normal. Enregistre le rapport (icône de la Disquette) sur ton PC (repère où tu l'as enregistré). Ferme ZHPDiag en fin d'analyse. Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). Sélectionne le fichier ZHPDiag.txt. Clique sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. Copie ce lien dans ta réponse. Aide en images pour poster un rapport sur cijoint.

PAPRIKA35 · Answer

ok pour ZHP DIAG; c'est en cours, je te poste tout apres.
Question de curiosité posée par mon ami : comment se fait il que des personnes comme toi passent autant de leur temps à dépanner des gens comme moi sur internet ? est ce ton job ??? une passion ?? une dévotion ??
autre question de moi : pourquoi des logiciels différents, pas préscan mais ZHP DIAG, chacun a un logiciel préféré ?? tu m'expliques aussi ???
MERCI

PAPRIKA35 · Answer

Bonjour

C'est de nouveau moi, je n'ai pas réussi à accéder à http://www.cijoint.fr/

J'ai déposé le rapport sur :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20111226_j8w10r12o12d13

merci de votre réponse

crapoulou · Answer

Première réponse : Une passion : aucune rémunération, pas de nob, simplement le plaisir de venir en aide aux autres et réparer des PC vérolés ! Deuxième réponse : Il est plus difficile d'interpréter le rapport de Pre Scan, bien qu'il a été utile pour que je vois quels fichiers infectieux sont présents. Question de goûts ; je préfère travailler avec ce logiciel. Les logiciels de génération de rapports de diagnostic se valent à peu près. Concernant le résultat du rapport : MBAM ne t'a pas tout supprimé ! J'ai l'impression que la base de données virale n'est pas à jour ! Chez moi : Version de la base de données: 911122602 Rends-toi sur l'onglet Mise à jour de MBAM puis > Rechercher des mises à jour. Obtiens-tu le message suivant ? "Vous avez la dernière version de la base de données" ou une mise à jour s'applique ? ************ Suppression avec AD-R : Télécharge AD-R (de C_XX ) sur ton bureau : = = = =>>> En cliquant ici <<<= = = = /!\ Déconnecte-toi et ferme toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\ * Exécute AD-R. * Au menu principal clique sur le bouton "Nettoyer". * Poste le rapport qui apparaît à la fin. (Le rapport est sauvegardé aussi sous Ad-Report-CLEAN[1].txt)

PAPRIKA35 · Answer

Merci pour tes réponses :)

MBAM me dit que j'ai la dernière version : 911122602
OK ou AD-R j'y vais :)
 a plus

PAPRIKA35 · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 14:17:02 le 26/12/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
Erica@ECO ( ) 
 
============== RECHERCHE ==============


Fichier trouvé: C:\Program Files\Mozilla FireFox\Components\AskHPRFF.js

Clé trouvée: HKLM\Software\Winsudate
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\PCTuto


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [8.0.1 (fr)] ****

FIREFOX.EXE\Shell\Open\Command - "C:\Program Files\Mozilla Firefox\Firefox.exe"
Searchplugins\bing.xml (    hxxp://www.bing.com/search)
Components\AskHPRFF.js
Components\browsercomps(2).dll (Mozilla Foundation)
Components\browsercomps.dll (Mozilla Foundation)
Extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}(2) (Default)
Extensions\{B13721C7-F507-4982-B2E5-502A71474FED} (Skype extension for Firefox		)

-- C:\Documents and Settings\Erica\Application Data\Mozilla\FireFox\Profiles\1a2187qf.default --
Extensions\{20a82645-c095-46ed-80e3-08825760534b}(2) (Microsoft .NET Framework Assistant)
Prefs.js - browser.download.lastDir, C:\Documents and Settings\Erica\Mes documents
Prefs.js - browser.search.selectedEngine, Bing
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.buildID, 20111120135848
Prefs.js - browser.startup.homepage_override.mstone, rv:8.0.1
Prefs.js - keyword.URL, hxxp://www.bing.com/search?mkt=fr-FR&form=MIMWA5&q=

========================================

**** Internet Explorer Version [6.0.2900.5512] ****

HKCU_Main|Default_Search_URL - hxxp://www.google.com/ie
HKCU_Main|Search bar - hxxp://www.google.com/ie
HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Start Page - hxxp://www.google.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_SearchScopes\{4272f7a9-e73d-4629-8f70-d57989a182d3} - "Wibeez" (hxxp://www.wibeez.com/societe?search&q={searchTerms})
HKCU_Toolbar\ShellBrowser|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll)
HKCU_Toolbar\ShellBrowser|{1017A80C-6F09-4548-A84D-EDD6AC9525F0} (C:\Program Files\Lexmark Toolbar	oolband.dll)
HKCU_Toolbar\WebBrowser|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll)
HKCU_Toolbar\WebBrowser|{1017A80C-6F09-4548-A84D-EDD6AC9525F0} (C:\Program Files\Lexmark Toolbar	oolband.dll)
HKLM_Toolbar|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll)
HKLM_Toolbar|{1017A80C-6F09-4548-A84D-EDD6AC9525F0} (C:\Program Files\Lexmark Toolbar	oolband.dll)
HKLM_ElevationPolicy\{E0A900DF-9611-4446-86BD-4B1D47E7DB2A} - C:\Program Files\Google\Chrome\Application\14.0.835.202\chrome_launcher.exe (x)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "AcroIEHlprObj Class" (C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll)
BHO\{1017A80C-6F09-4548-A84D-EDD6AC9525F0} - "Lexmark Barre d'outils" (C:\Program Files\Lexmark Toolbar	oolband.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll)
BHO\{AE7CD045-E861-484f-8273-0445EE161910} - "AcroIEToolbarHelper Class" (C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 0 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 26/12/2011 14:17:07 (910 Octet(s)) 

Fin à: 14:18:48, 26/12/2011 
 
============== E.O.F ==============

PAPRIKA35 · Answer

Désolée c'était le scan, voici le rapport d'ADclean :

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 14:23:16 le 26/12/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
Erica@ECO ( ) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskHPRFF.js

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Winsudate
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\PCTuto


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [8.0.1 (fr)] ****

FIREFOX.EXE\Shell\Open\Command - "C:\Program Files\Mozilla Firefox\Firefox.exe"
Searchplugins\bing.xml (    hxxp://www.bing.com/search)
Components\browsercomps(2).dll (Mozilla Foundation)
Components\browsercomps.dll (Mozilla Foundation)
Extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}(2) (Default)
Extensions\{B13721C7-F507-4982-B2E5-502A71474FED} (Skype extension for Firefox		)

-- C:\Documents and Settings\Erica\Application Data\Mozilla\FireFox\Profiles\1a2187qf.default --
Extensions\{20a82645-c095-46ed-80e3-08825760534b}(2) (Microsoft .NET Framework Assistant)
Prefs.js - browser.download.lastDir, C:\Documents and Settings\Erica\Mes documents
Prefs.js - browser.search.selectedEngine, Bing
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.buildID, 20111120135848
Prefs.js - browser.startup.homepage_override.mstone, rv:8.0.1
Prefs.js - keyword.URL, hxxp://www.bing.com/search?mkt=fr-FR&form=MIMWA5&q=

========================================

**** Internet Explorer Version [6.0.2900.5512] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{4272f7a9-e73d-4629-8f70-d57989a182d3} - "Wibeez" (hxxp://www.wibeez.com/societe?search&q={searchTerms})
HKCU_Toolbar\ShellBrowser|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll)
HKCU_Toolbar\ShellBrowser|{1017A80C-6F09-4548-A84D-EDD6AC9525F0} (C:\Program Files\Lexmark Toolbar	oolband.dll)
HKCU_Toolbar\WebBrowser|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll)
HKCU_Toolbar\WebBrowser|{1017A80C-6F09-4548-A84D-EDD6AC9525F0} (C:\Program Files\Lexmark Toolbar	oolband.dll)
HKLM_Toolbar|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll)
HKLM_Toolbar|{1017A80C-6F09-4548-A84D-EDD6AC9525F0} (C:\Program Files\Lexmark Toolbar	oolband.dll)
HKLM_ElevationPolicy\{E0A900DF-9611-4446-86BD-4B1D47E7DB2A} - C:\Program Files\Google\Chrome\Application\14.0.835.202\chrome_launcher.exe (x)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "AcroIEHlprObj Class" (C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll)
BHO\{1017A80C-6F09-4548-A84D-EDD6AC9525F0} - "Lexmark Barre d'outils" (C:\Program Files\Lexmark Toolbar	oolband.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll)
BHO\{AE7CD045-E861-484f-8273-0445EE161910} - "AcroIEToolbarHelper Class" (C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 1 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 26/12/2011 14:23:19 (695 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 26/12/2011 14:17:07 (4303 Octet(s)) 

Fin à: 14:27:36, 26/12/2011 
 
============== E.O.F ==============

crapoulou · Answer

Ok, parfait pour AD-R.
Tu peux supprimer l'exécutable et le rapport.

MBAM est donc bien à jour ?

Lance RogueKiller en mode Scan stp :
https://www.commentcamarche.net/faq/30719-utiliser-roguekiller#mode-1-scan

PAPRIKA35 · Answer

ai supprimé ADREMOVER de c/program file et les rapports. voici le rapport de ROGUEKILLER (ai tapé la commande 1): RogueKiller V6.2.0 [12/12/2011] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Erica [Droits d'admin] Mode: Recherche -- Date : 26/12/2011 15:49:06 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 2 ¤¤¤ [SUSP PATH] Outil de notification de cadeaux MSN.lnk : C:\Documents and Settings\Erica\Application Data\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> FOUND [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ --- User --- [MBR] a421b0edeac47797a1133217fafa62b0 [BSP] afdd1bab2873b0022266b664acb1f826 : MBR Code unknown Partition table: 0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 750145 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

crapoulou · Answer

Ok. Cela me semble assez bien. Comment va le PC à première vue ? As-tu remarqué des anomalies ? On en n'a pas pour autant terminé ... Reste avec moi ;-). Peux-tu juste exécuter ce petit script pour lister ce qui se trouve sur le bureau. Cela créera un fichier nommé CRAPOULOU.txt sur le bureau qu'il faudra m'envoyer. Clique sur Démarrer >Exécuter. Tape notepad puis [Entrée]. Le bloc-notes s'ouvre. Copie-colle ces deux lignes : cd %USERPROFILE%\Desktop DIR > CRAPOULOU.TXT Une fois fait, Clique sur Enregistrer Sous > Sélectionne le bureau. Nomme ce fichier script.bat /!\ Dans le champ Type (de fichier), sélectionne Tous les fichiers (*.*) Exécute script.bat qui est sur ton bureau. Une fenêtre apparait et se ferme furtivement. Le fichier CRAPOULOU.txt à m'envoyer est apparu sur le bureau. ************ Télécharge SEAF.exe de C_XX sur ton bureau : = = = = =>>> En cliquant ici <<<= = = = = * Double clique sur SEAF.exe que tu viens de télécharger. * Une fenêtre va s'ouvrir. * Copie-colle ceci dans la barre de recherche blanche winlogon.exe * Ne coche pas sur la droite : "Chercher également dans le registre" * Coche en bas "Afficher les ADS" et "Informations supplémentaires". * Clique ensuite sur "Lancer la recherche". * Patiente pendant la recherche. * Une fenêtre avec un rapport au format ".txt" va s'afficher. * Copie/colle ce rapport dans ta prochaine réponse. Merci.

PAPRIKA35 · Answer

bonsoir Crapoulou et merci de ta patience :)

Oui une anomalie avec outlook ou plus précisément word. Quand je veux répondre à un message il y a un message d'erreur (j'ai fait une impression écran je peux te l'envoyer si tu veux) qui dit "impossible de demarrer Microsoft Office Word mail. fermez toutes les boites de dialogue ouvertes dans word et reessayez" (aucune boite de diag ouvertes) et quand je clique sur le "ok" ça m'ouvre une autre fenetre de microsoft office word qui dit "le modele de complement non valide; (c:program files\...\XXFMazker.dot) les XX remplacent 2 symboles comme un s et un autre s barré que je ne sais pas reecrire).
mais sinon, j'ai redémarré tout à l'heure et j'ai pu envoyer un mail. là ça vient de le refaire après redémarrage. mais j'ai eu souvent avant les 2 chevaux de troie recemment attrapés, un message quand je ferme word qui dit que le "normal.dot" a changé etc etc
voilà
bon je fais ce que tu m'as indiqué et je t'envoie le rapport.

crapoulou · Answer

Fais moi des screenshots de ces anomalies et éventuellement des chevaux de troie détectés.

Tu peux les envoyer sur le site cijoint.fr et me transmettre les URL pour que j'aille voir.

PAPRIKA35 · Answer

Le volume dans le lecteur C n'a pas de nom. Le num'ro de s'rie du volume est E898-29D1 R'pertoire de C:\Documents and Settings\Erica\Bureau 26/12/2011 21:02 . 26/12/2011 21:02 .. 29/10/2011 10:26 16ÿ761 a imprimer compta.pdf 26/12/2011 21:02 0 CRAPOULOU.TXT 20/12/2011 11:03 11ÿ594 FACTURE POSTE REEXPEDITION.pdf 26/12/2011 10:44 675 Internet Explorer.lnk 28/09/2009 14:34 1ÿ753 Messenger.lnk 26/12/2011 10:35 6ÿ427ÿ143 Pre_scan.exe 26/12/2011 10:36 6ÿ427ÿ143 Pre_Scan.pif 26/12/2011 10:44 270ÿ452 Pre_Scan_26_12_2011_10_39_08.txt 22/12/2011 21:50 1ÿ570 Raccourci vers COMPTES PRO 2011.lnk 20/12/2011 11:02 11ÿ663 reexpedition courrier.pdf 26/12/2011 15:48 1ÿ817 RKreport[1].txt 26/12/2011 15:49 1ÿ678 RKreport[2].txt 26/12/2011 15:48 RK_Quarantine 26/12/2011 15:47 771ÿ072 RogueKiller.exe 26/12/2011 21:02 46 script.bat 27/10/2009 19:39 1ÿ609 TRAVAIL.lnk 25/12/2011 16:00 9ÿ852ÿ544 winlogon.exe.exe 26/12/2011 12:07 14ÿ823ÿ917 ZHP 2.53.exe 26/12/2011 12:42 230ÿ903 ZHPDiag.txt 18 fichier(s) 38ÿ852ÿ340 octets 3 R'p(s) 613ÿ708ÿ218ÿ368 octets libres

crapoulou · Answer

Tu peux supprimer ceci :
- ZHP 2.53.exe
- winlogon.exe.exe
- RKreport[1].txt
- RKreport[2].txt
- ZHPDiag.txt
- RogueKiller
- script.bat
- CRAPOULOU.txt
- Pre_scan.exe
- Pre_Scan.pif
- Pre_Scan_26_12_2011_10_39_08.txt

PAPRIKA35 · Answer

le winlogon.exe c'était malwarebites que j'avais essayé d'ouvrir (avant le fameux préscan qui a tout débloqué) et là je l'ai supprimé j'ai refait la manip et voila le resultat. Le volume dans le lecteur C n'a pas de nom. Le num'ro de s'rie du volume est E898-29D1 R'pertoire de C:\Documents and Settings\Erica\Bureau 26/12/2011 21:04 . 26/12/2011 21:04 .. 29/10/2011 10:26 16ÿ761 a imprimer compta.pdf 26/12/2011 21:04 0 CRAPOULOU.TXT 20/12/2011 11:03 11ÿ594 FACTURE POSTE REEXPEDITION.pdf 26/12/2011 10:44 675 Internet Explorer.lnk 28/09/2009 14:34 1ÿ753 Messenger.lnk 26/12/2011 10:35 6ÿ427ÿ143 Pre_scan.exe 26/12/2011 10:36 6ÿ427ÿ143 Pre_Scan.pif 26/12/2011 10:44 270ÿ452 Pre_Scan_26_12_2011_10_39_08.txt 22/12/2011 21:50 1ÿ570 Raccourci vers COMPTES PRO 2011.lnk 20/12/2011 11:02 11ÿ663 reexpedition courrier.pdf 26/12/2011 15:48 1ÿ817 RKreport[1].txt 26/12/2011 15:49 1ÿ678 RKreport[2].txt 26/12/2011 15:48 RK_Quarantine 26/12/2011 15:47 771ÿ072 RogueKiller.exe 26/12/2011 21:02 46 script.bat 27/10/2009 19:39 1ÿ609 TRAVAIL.lnk 26/12/2011 12:07 14ÿ823ÿ917 ZHP 2.53.exe 26/12/2011 12:42 230ÿ903 ZHPDiag.txt 17 fichier(s) 28ÿ999ÿ796 octets 3 R'p(s) 613ÿ697ÿ851ÿ392 octets libres

PAPRIKA35 · Answer

voila pour seaf log

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 21:06:24 le 26/12/2011
4. 
5. Valeur(s) recherchée(s):
6. winlogon.exe
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Informations supplémentaires
11. (!) --- Affichage des ADS
12. 
13. ====== Fichier(s) ======
14. 
15. 
16. "C:\WINDOWS\system32\dllcache\winlogon.exe" [ COMPRESSED|ARCHIVE | 512 Ko ]
17. TC: 14/04/2008,13:00:00 | TM: 14/04/2008,13:00:00 | DA: 26/12/2011,21:00:54
18. 
19. CompanyName: Microsoft Corporation
20. ProductName: Système d'exploitation Microsoft® Windows®
21. InternalName: winlogon
22. OriginalFileName: WINLOGON.EXE
23. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
24. ProductVersion: 5.1.2600.5512
25. FileVersion: 5.1.2600.5512 (xpsp.080413-2113)
26. 
27. =========================
28. 
29. 
30. "C:\WINDOWS\system32\winlogon.exe" [ ARCHIVE | 512 Ko ]
31. TC: 14/04/2008,13:00:00 | TM: 14/04/2008,13:00:00 | DA: 26/12/2011,20:39:04
32. 
33. CompanyName: Microsoft Corporation
34. ProductName: Système d'exploitation Microsoft® Windows®
35. InternalName: winlogon
36. OriginalFileName: WINLOGON.EXE
37. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
38. ProductVersion: 5.1.2600.5512
39. FileVersion: 5.1.2600.5512 (xpsp.080413-2113)
40. 
41. =========================
42. 
43. 
44. =========================
45. 
46. Fin à: 21:06:28 le 26/12/2011
47. 125888 Éléments analysés
48. 
49. =========================
50. E.O.F

crapoulou · Answer

Ok.
Supprime SEAF et son rapport.
Fais bien ceci :
https://forums.commentcamarche.net/forum/affich-23998326-xp-antivirus-2012#25

et ceci :
https://forums.commentcamarche.net/forum/affich-23998326-xp-antivirus-2012#21

PAPRIKA35 · Answer

Bonsoir Crapoulou

Penses tu que mon ordi est sain maintenant ?

Merci de ta réponse.

Bonne soirée

g3n-h@ckm@n · Answer

salut pre_scan a bien bossé je suis fier de mon outil ^^

@Crapoulou :

le rapport pre_scan passe dans ZHPH :)
Pre_scan a bien tué le rogue cependant il reste des fichiers systeme de celui-ci qu'aucun outil n'a vu je poste donc un script de suppression pour faire propre :

========

@PAPRIKA35

touche windows +R , puis tape regedit

deplie l'arborescence avec les petits "+"

HKEY_CURRENT_USER
Software
fAfvfSfP [fVf#f" fEfBfU [fh'Å ¶ ¬'³'ê'½f  [fJf< fAfvfSfP [fVf#f"

clic droit sur les caracteres bizarres , puis "supprimer"     

===========================

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

Lance Pre_script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"QuickTime Task"=-
"TkBellExe"=-
"iTunesHelper"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] 
"{0E5CBF21-D15F-11D0-8301-00AA005B4383}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{A1194237-547A-461d-BD44-B97B1574A7DA}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}]
[-HKLM\Software\424]      
[-HKLM\Software\644]      
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]  
"1900:UDP"=-
"2869:TCP"=-
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]      
"1900:UDP"=-
"2869:TCP"=-

command::
copy /y "C:\Kill'em\Explorer.exe" "C:\windows\system32\dllcache\explorer.exe"         

file::
C:\WINDOWS\SwSys1.bmp 
C:\WINDOWS\SwSys2.bmp          
C:\WINDOWS\_delis32.ini 
C:\Documents and Settings\All Users\Application Data\j3b4hsrwa4lut6d2380nbp55tkla  
C:\Documents and Settings\Erica\Local Settings\Application Data\j3b4hsrwa4lut6d2380nbp55tkla      
C:\WINDOWS\Tasks\Install.job      

folder::             
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy    
C:\Program Files\Spybot - Search & Destroy    

clean::      

Reboot::        
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

PAPRIKA35 · Answer

Bonsoir g3n-h@ckm@n

Ne vous faites pas la guerre avec Crapoulou, il m'a bien aidée toute la journée et je lui en suis reconnaissante.

J'ai procédé à la manip regedit etc, et j'ai cliqué droit sur cette ligne :fAfvfSfP [fVf#f" fEfBfU [fh'Å ¶ ¬'³'ê'½f [fJf< fAfvfSfP [fVf#f", et je l'ai supprimée.

J'ai lancé le truc avec pre-script et le txt est apparu sur le bureau.

Comme j'avais un fichier ouvert (non enregistré) je n'ai pas laisser l'ordi redemmarrer.

Apres avoir enregistré et fermé mon document, j'ai relancé la manip avec le pre-script 
le fichier txt est venu. OK

L'ordi a redemarrer.

Et il a bloqué longuement. seule la fleche de la souris se promenait sur l'écran (là j'écris de mon portable sain) et apres 5 min j'ai vu que des fenetre s'ouvraient (mon logiciel dessin). je les ai fermées. J'ai vu que la commande "executer" était ouverte avec "notepad" écrit dedans...
bref
je vais y retourner pour chercher le txt sur une clé.

Le voici :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.005 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Mise à jour : 24/12/2011 | 03.10 Par g3n-h@ckm@n
Utilisateur : Erica (Administrateurs)
Ordinateur : ECO
Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 6.0.2900.5512
Mozilla Firefox : 8.0.1 (fr)

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command:: 
txt:: | Host:: | NsLook::
list:: | IP:: | ADS:: | Kill:: | clean::
Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
Tray::

Script : 23:04:30

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuée

¤

Absent : C:\WINDOWS\SwSys1.bmp
Absent : C:\WINDOWS\SwSys2.bmp
Absent : C:\WINDOWS\_delis32.ini
Absent : C:\Documents and Settings\All Users\Application Data\j3b4hsrwa4lut6d2380nbp55tkla
Absent : C:\Documents and Settings\Erica\Local Settings\Application Data\j3b4hsrwa4lut6d2380nbp55tkla
Absent : C:\WINDOWS\Tasks\Install.job

¤

Absent : C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
Absent : C:\Program Files\Spybot - Search & Destroy

¤

Fichier Batch executé

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


explorer.exe -> Processus redémarré

Fin : 23:07:07

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

PAPRIKA35 · Answer

Bonsoir à Crapoulou et G3n-h@ckm@n, 

Je vais devoir laisser tomber pour ce soir, j'espère avoir de vos nouvelles demain. Je ne pourrai pas m'y remettre avant demain soir, donc on reste en contact si vous le voulez bien car mon ordi a mis encore 15 minutes avant d'etre opérationnel... un bug non ???
Merci de votre précieuse aide.
A demain.

g3n-h@ckm@n · Answer

je ne vois pas quel beug pourrait le faire bloquer....

la chaine de caracteres c'est normal qu'elle ne soit pas dans l'autre pc , c'est l'infection qui l'a mise

quand tu fais ctrl+alt+supp as-tu le gestionnaire des taches qui s'ouvre ?

PAPRIKA35 · Answer

bonjour, oui ça s'ouvre bien.
ce matin, l'ordi a démarré plus vite. je ne sais pas ce qui s'est passé hier soir.
si tu permets je te dirai au prochain demarrage comment ça se passe.
merci

g3n-h@ckm@n · Answer

bonjour tout est revenu en ordre alors ?

g3n-h@ckm@n · Answer

si tout fonctionne maintenant il n'y a pas de raisons que ca continue pas :)

g3n-h@ckm@n · Answer

donne des precisions sur ton outlook en panne

g3n-h@ckm@n · Answer

ouaip reinstalle-le voir....

g3n-h@ckm@n · Answer

ok mise à jour de malwarebytes + scan complet => suppression de ce qu il trouve => rapport

PAPRIKA35 · Answer

bonjour,
scan en cours et déjà 1 détecté. on attend la suite. merci

crapoulou · Answer

Supprime ce fichier :
C:\Documents and Settings\Erica\Mes documents\Téléchargements\WebPlayer.exe 

Explique-nous ton problème Outlook pour qu'on voie ce que c'est.

crapoulou · Answer

Essaye de faire ça pour Outlook : Télécharge SEAF.exe de C_XX sur ton bureau : = = = = =>>> En cliquant ici <<<= = = = = * Double clique sur SEAF.exe que tu viens de télécharger. * Une fenêtre va s'ouvrir. * Copie-colle ceci dans la barre de recherche blanche normal.dot * Ne coche pas sur la droite : "Chercher également dans le registre" * Coche en bas "Afficher les ADS" et "Informations supplémentaires". * Clique ensuite sur "Lancer la recherche". * Patiente pendant la recherche. * Une fenêtre avec un rapport au format ".txt" va s'afficher. * Copie/colle ce rapport dans ta prochaine réponse. Recommence avec en champ de recherche le mot clé Mazker.dot Et Coche la recherche dans le registre pour celui-ci.

crapoulou · Answer

Peux-tu m'envoyer le screenshot de ton problème avec Office ?
Essaye de lancer une réparation du pack Office...?!

crapoulou · Answer

Pour mettre Office 2003 en Français, essaye de voir si tu trouves quelque chose dans ces menus :

To update language settings by using the Language Settings tool

    On the taskbar, click Start, then point to All Programs (for Windows XP) or Start Programs (for Windows 2000).
    Point to Microsoft Office, point to Microsoft Office Tools, and then click Microsoft Office 2003 Language Settings.
    On the User Interface and Help tab, choose a language in the Display Office 2003 in drop-down list.

Only languages for which you have installed a MUI Pack are displayed; therefore, the User Interface and Help tab is displayed in the Language Settings tools only when you have at least one MUI Pack installed on your computer.

    Choose a language in the Display Help in drop-down list.

Only languages for which you have installed a MUI Pack are displayed.

    On the Enabled Languages tab, select a language in the scroll list, then click Add to enable the language for editing.
    Change the Installation Language by choosing a language in the Choose the language that defines default behavior in Microsoft Office applications drop-down list.


Source

Sinon, essaye de poster un topic dédié sur le forum.

crapoulou · Answer

Avant de partir, peux-tu supprimer les outils nécessaires à la désinfection ainsi que les logs en suivant la procédure de ToolsCleaner ici :

http://www.commentcamarche.net/faq/24877-supprimer-les-logiciels-de-desinfection#tools-cleaner-de-a-rothstein-dj-quiou

crapoulou · Answer

Parfait.
Tu peux supprimer Toolscleaner.exe téléchargé et le rapport généré : C:\TCleaner.txt.

crapoulou · Answer

Bonne continuation.

XP ANTIVIRUS 2012

41 réponses

Discussions similaires

Newsletters