Infection tjs la apres malwarebytes :(
karidav
Messages postés
11
Statut
Membre
-
dr.pc1 Messages postés 5077 Statut Contributeur -
dr.pc1 Messages postés 5077 Statut Contributeur -
Bonjour,
mon ordi est infecté même apres avoir utilisé zhpfix et malwarebytes (rapport ci dessous)
Lors de ma reconnexion sur internet(apres le scan et la suppression de malwarebytes, celui ci a trouvé encore des choses:( )
Voici les rapports :
RAPPORT DE ZHPFX :
1.12.3380 par Nicolas Coolman, Update du 05/02/2011
Fichier d'export Registre :
Run by David at 04/03/2012 00:28:31
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/
========== Clé(s) du Registre ==========
ABSENT Key: Service: Bonjour Service
ABSENT Key: HKCU\Software\LdShih
ABSENT Key: HKCU\Software\Live-Player
ABSENT Key: HKLM\Software\Live-Player
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
========== Valeur(s) du Registre ==========
ABSENT RunValue: LManager
ABSENT RunValue: PlayMovie
ABSENT RunValue: QuickTime Task
ABSENT RunValue: iTunesHelper
ABSENT RunValue: Adobe Reader Speed Launcher
ABSENT RunValue: WindowsWelcomeCenter
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :
SUPPRIME FirewallRaz (None) : {72BD6BB2-6DE9-4E17-8106-D921E74D36DF}
SUPPRIME FirewallRaz (None) : {9D4010BE-6A48-409A-AD1D-C3567ECE3D8B}
SUPPRIME FirewallRaz (None) : {C5D9A380-E248-4C8B-9FA6-DFC6584083B1}
========== Dossier(s) ==========
SUPPRIME Flash Cookies: 1022
SUPPRIME Temporaires Windows: : 1066
========== Fichier(s) ==========
SUPPRIME Flash Cookies: 512
SUPPRIME Temporaires Windows: : 3992
========== Restauration Système ==========
Point de restauration du système créé avec succès
========== Récapitulatif ==========
5 : Clé(s) du Registre
11 : Valeur(s) du Registre
2 : Dossier(s)
2 : Fichier(s)
1 : Restauration Système
End of clean in 01mn 29s
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 04/03/2012 00:28:31 [1721]
RAPPORT DE MALWAREBYTES
Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.03.07
Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
David :: PC-DE-DAVID [administrateur]
Protection: Désactivé
04/03/2012 00:31:48
mbam-log-2012-03-04 (00-31-48).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 433387
Temps écoulé: 2 heure(s), 6 minute(s), 33 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 1
C:\Windows\System32\wlancig.dll (Rootkit.0Access) -> Suppression au redémarrage.
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 9
C:\Program Files\Rosetta Stone\Rosetta Stone V3\Rosetta Stone v3.2 - Patch.exe (PUP.Hacktool.Patcher) -> Aucune action effectuée.
C:\Windows\System32\wlancig.dll (Rootkit.0Access) -> Suppression au redémarrage.
C:\$RECYCLE.BIN\S-1-5-21-1930406980-1592824942-3463341022-1000\$RJQHYSX.dll (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\GAC_MSIL\Desktop.ini (Rootkit.0Access) -> Suppression au redémarrage.
C:\Windows\System32\msmpsvc.dll (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\David\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
(fin)
Il y avait un second rapport je le met au cas ou :
2012/03/04 00:17:15 +0100 PC-DE-DAVID David MESSAGE Starting protection
2012/03/04 00:17:20 +0100 PC-DE-DAVID David MESSAGE Protection started successfully
2012/03/04 00:17:23 +0100 PC-DE-DAVID David MESSAGE Starting IP protection
2012/03/04 00:17:23 +0100 PC-DE-DAVID David ERROR IP protection failed: FwpmEngineOpen0 failed with error code 1753
2012/03/04 00:22:31 +0100 PC-DE-DAVID David DETECTION C:\Users\David\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb Rootkit.Zeroaccess QUARANTINE
2012/03/04 00:22:31 +0100 PC-DE-DAVID David ERROR Quarantine failed: DeleteFile failed with error code 5
2012/03/04 00:31:04 +0100 PC-DE-DAVID David MESSAGE Starting database refresh
2012/03/04 00:31:09 +0100 PC-DE-DAVID David MESSAGE Database refreshed successfully
2012/03/04 09:30:04 +0100 PC-DE-DAVID David DETECTION C:\Users\David\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb Rootkit.Zeroaccess ALLOW
2012/03/04 09:36:31 +0100 PC-DE-DAVID David MESSAGE Starting protection
2012/03/04 09:36:35 +0100 PC-DE-DAVID David MESSAGE Protection started successfully
2012/03/04 09:36:38 +0100 PC-DE-DAVID David MESSAGE Starting IP protection
2012/03/04 09:36:38 +0100 PC-DE-DAVID David ERROR IP protection failed: FwpmEngineOpen0 failed with error code 1753
2012/03/04 09:36:56 +0100 PC-DE-DAVID David DETECTION C:\Windows\assembly\GAC_MSIL\Desktop.ini Rootkit.0Access QUARANTINE
2012/03/04 09:36:56 +0100 PC-DE-DAVID David ERROR Quarantine failed: DeleteFile failed with error code 5
2012/03/04 09:36:58 +0100 PC-DE-DAVID David DETECTION C:\Users\David\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb Rootkit.Zeroaccess QUARANTINE
2012/03/04 09:36:58 +0100 PC-DE-DAVID David ERROR Quarantine failed: DeleteFile failed with error code 5
2012/03/04 09:43:43 +0100 PC-DE-DAVID David DETECTION C:\Windows\assembly\GAC_MSIL\Desktop.ini Rootkit.0Access DENY
2012/03/04 09:43:57 +0100 PC-DE-DAVID David DETECTION C:\Windows\assembly\GAC_MSIL\Desktop.ini Rootkit.0Access DENY
2012/03/04 09:44:01 +0100 PC-DE-DAVID David DETECTION C:\Windows\assembly\GAC_MSIL\Desktop.ini Rootkit.0Access DENY
Merçi deja à jacques.gache pour ces étapes mais j'imagine que ce n'est pas fini, en effet je suis toujours redirigé vers des sites de pub sur la recherche google :(, cela marche encore avec yahoo, bizarre comme truc quand même... si quelqu'un peux me dirigé pour la suite des démarches...
Dav
mon ordi est infecté même apres avoir utilisé zhpfix et malwarebytes (rapport ci dessous)
Lors de ma reconnexion sur internet(apres le scan et la suppression de malwarebytes, celui ci a trouvé encore des choses:( )
Voici les rapports :
RAPPORT DE ZHPFX :
1.12.3380 par Nicolas Coolman, Update du 05/02/2011
Fichier d'export Registre :
Run by David at 04/03/2012 00:28:31
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/
========== Clé(s) du Registre ==========
ABSENT Key: Service: Bonjour Service
ABSENT Key: HKCU\Software\LdShih
ABSENT Key: HKCU\Software\Live-Player
ABSENT Key: HKLM\Software\Live-Player
ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
========== Valeur(s) du Registre ==========
ABSENT RunValue: LManager
ABSENT RunValue: PlayMovie
ABSENT RunValue: QuickTime Task
ABSENT RunValue: iTunesHelper
ABSENT RunValue: Adobe Reader Speed Launcher
ABSENT RunValue: WindowsWelcomeCenter
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :
SUPPRIME FirewallRaz (None) : {72BD6BB2-6DE9-4E17-8106-D921E74D36DF}
SUPPRIME FirewallRaz (None) : {9D4010BE-6A48-409A-AD1D-C3567ECE3D8B}
SUPPRIME FirewallRaz (None) : {C5D9A380-E248-4C8B-9FA6-DFC6584083B1}
========== Dossier(s) ==========
SUPPRIME Flash Cookies: 1022
SUPPRIME Temporaires Windows: : 1066
========== Fichier(s) ==========
SUPPRIME Flash Cookies: 512
SUPPRIME Temporaires Windows: : 3992
========== Restauration Système ==========
Point de restauration du système créé avec succès
========== Récapitulatif ==========
5 : Clé(s) du Registre
11 : Valeur(s) du Registre
2 : Dossier(s)
2 : Fichier(s)
1 : Restauration Système
End of clean in 01mn 29s
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 04/03/2012 00:28:31 [1721]
RAPPORT DE MALWAREBYTES
Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.03.07
Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
David :: PC-DE-DAVID [administrateur]
Protection: Désactivé
04/03/2012 00:31:48
mbam-log-2012-03-04 (00-31-48).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 433387
Temps écoulé: 2 heure(s), 6 minute(s), 33 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 1
C:\Windows\System32\wlancig.dll (Rootkit.0Access) -> Suppression au redémarrage.
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 9
C:\Program Files\Rosetta Stone\Rosetta Stone V3\Rosetta Stone v3.2 - Patch.exe (PUP.Hacktool.Patcher) -> Aucune action effectuée.
C:\Windows\System32\wlancig.dll (Rootkit.0Access) -> Suppression au redémarrage.
C:\$RECYCLE.BIN\S-1-5-21-1930406980-1592824942-3463341022-1000\$RJQHYSX.dll (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\assembly\GAC_MSIL\Desktop.ini (Rootkit.0Access) -> Suppression au redémarrage.
C:\Windows\System32\msmpsvc.dll (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\David\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
(fin)
Il y avait un second rapport je le met au cas ou :
2012/03/04 00:17:15 +0100 PC-DE-DAVID David MESSAGE Starting protection
2012/03/04 00:17:20 +0100 PC-DE-DAVID David MESSAGE Protection started successfully
2012/03/04 00:17:23 +0100 PC-DE-DAVID David MESSAGE Starting IP protection
2012/03/04 00:17:23 +0100 PC-DE-DAVID David ERROR IP protection failed: FwpmEngineOpen0 failed with error code 1753
2012/03/04 00:22:31 +0100 PC-DE-DAVID David DETECTION C:\Users\David\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb Rootkit.Zeroaccess QUARANTINE
2012/03/04 00:22:31 +0100 PC-DE-DAVID David ERROR Quarantine failed: DeleteFile failed with error code 5
2012/03/04 00:31:04 +0100 PC-DE-DAVID David MESSAGE Starting database refresh
2012/03/04 00:31:09 +0100 PC-DE-DAVID David MESSAGE Database refreshed successfully
2012/03/04 09:30:04 +0100 PC-DE-DAVID David DETECTION C:\Users\David\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb Rootkit.Zeroaccess ALLOW
2012/03/04 09:36:31 +0100 PC-DE-DAVID David MESSAGE Starting protection
2012/03/04 09:36:35 +0100 PC-DE-DAVID David MESSAGE Protection started successfully
2012/03/04 09:36:38 +0100 PC-DE-DAVID David MESSAGE Starting IP protection
2012/03/04 09:36:38 +0100 PC-DE-DAVID David ERROR IP protection failed: FwpmEngineOpen0 failed with error code 1753
2012/03/04 09:36:56 +0100 PC-DE-DAVID David DETECTION C:\Windows\assembly\GAC_MSIL\Desktop.ini Rootkit.0Access QUARANTINE
2012/03/04 09:36:56 +0100 PC-DE-DAVID David ERROR Quarantine failed: DeleteFile failed with error code 5
2012/03/04 09:36:58 +0100 PC-DE-DAVID David DETECTION C:\Users\David\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb Rootkit.Zeroaccess QUARANTINE
2012/03/04 09:36:58 +0100 PC-DE-DAVID David ERROR Quarantine failed: DeleteFile failed with error code 5
2012/03/04 09:43:43 +0100 PC-DE-DAVID David DETECTION C:\Windows\assembly\GAC_MSIL\Desktop.ini Rootkit.0Access DENY
2012/03/04 09:43:57 +0100 PC-DE-DAVID David DETECTION C:\Windows\assembly\GAC_MSIL\Desktop.ini Rootkit.0Access DENY
2012/03/04 09:44:01 +0100 PC-DE-DAVID David DETECTION C:\Windows\assembly\GAC_MSIL\Desktop.ini Rootkit.0Access DENY
Merçi deja à jacques.gache pour ces étapes mais j'imagine que ce n'est pas fini, en effet je suis toujours redirigé vers des sites de pub sur la recherche google :(, cela marche encore avec yahoo, bizarre comme truc quand même... si quelqu'un peux me dirigé pour la suite des démarches...
Dav
A voir également:
- Infection tjs la apres malwarebytes :(
- Télécharger malwarebytes - Télécharger - Antivirus & Antimalwares
- Malwarebytes adwcleaner - Télécharger - Antivirus & Antimalwares
- Malwarebytes gratuit ✓ - Forum Virus
- Fileassassin malwarebytes - Télécharger - Nettoyage
- Clé de licence malwarebytes gratuit - Forum Virus
