Avast détecte des virus dans service.exe

Question

Bonjour, 
Voila, toute les cinq minute a peut près ne même temps, il ya des pop-up de
deux virus détecter par avast:
L'un:Win32:maleware-gen
et l'autre juste après:win32:DNSChanger-VJ [trj]
Ils sont dans le processus en cour d'éxécution "service.exe",
viennent de C:/Windows/installer/.../00000032.@
et sont mis en quarantaine.
J'ai fais un scan, 3 virus trouvés et supprimer mais toujours la même chose.
Comment faire pour ne plus qu'il reviennent?

juju666 · Answer

Hello, Ne supprime surtout pas services.exe !!! Scan préalable : Télécharge et enregistre Pre_Scan sur ton bureau : http://www.forums-fec.be/gen-hackman/Pre_Scan.exe Avertissement : Il y aura une extinction du bureau pendant le scan --> pas de panique. une fois téléchargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau. Note : si l'outil est lancé plusieurs fois , il te proposera un menu, choisi alors l'option "Kill" si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy" Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan NE LE POSTE PAS SUR LE FORUM !!! (il est trop long) Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange ~~ Une fois fait : /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur A+

Infrared · Answer

Voila le lien du résultat après avoir redémarrer:
http://pjjoint.malekal.com/files.php?id=20120612_b9g6h15s12k9
Je peut passer a la deuxième étapes maintenant?

Infrared · Answer

J'ai lancer combofix.exe renommé en mon nom.exe après
avoir lancer deffoger.exe et désactiver l'antivirus.
mais rien ne s'est passé a part une fenêtre de commande qui s'est
ouverte et ensuite fermé et pas de combofix.txt a la racine du disque dur C

juju666 · Answer

combofix contré... ça s'annonce mal ...

je te prépare un script je reviens

juju666 · Answer

OK.

fais passer ces 2 DLL sur https://www.virustotal.com/gui/

C:\Windows\System\rnaph.dll
C:\Windows\System\url.dll

====================================================

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[-HKU\S-1-5-21-765537286-748891208-1332264742-1000\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]
[-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}]
[-HKU\S-1-5-21-765537286-748891208-1332264742-1000\Software\1ClickDownload] 
[-HKU\S-1-5-21-765537286-748891208-1332264742-1000\Software\SweetIM]     
[-HKLM\Software\Iminent]     
[-HKLM\Software\SweetIM]     

File::
C:\Windows\Assembly\GAC_32\Desktop.ini 
C:\Windows\Assembly\GAC_64\Desktop.ini

Folder::
C:\Windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2} 
C:\Users\All Users\SweetIM 
C:\Users\All Users\Tarma Installer 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\µå·¡°ïº¼ ¿Â¶óÀÎ 
C:\Users\antoine\AppData\Roaming\LOVE 
C:\ProgramData\SweetIM     
C:\Users\antoine\AppData\Local\Chris_Pietschmann_(http__ 
C:\Users\antoine\AppData\Local\vghd     
C:\Program Files (x86)\SweetIM     
 
MBR::

clean::

Reboot:: 
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Infrared · Answer

J'ai scannée les deux dll et aucun virus n'a été trouvé.
J'ai relancé pre scan avec le script, windows explorer a du être désactiver car le bureau a disparu, ensuite il a réapparu après 2 minutes et l'ordinateur a
redémarrer.Sinon visiblement plus de pop up de avast mais je ne suis pas sur.
Voila le Pre_Script.txt:

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.611 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

antoine : Windows 7 Home Premium (64 bits)

Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

Script : 11:52:32

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuée

¤

Non Supprimé : C:\Windows\Assembly\GAC_32\Desktop.ini 
Non Supprimé : C:\Windows\Assembly\GAC_64\Desktop.ini 

¤

Supprimé : C:\Windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2} 
Supprimé : C:\Users\All Users\SweetIM 
Supprimé : C:\Users\All Users\Tarma Installer 
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\µå·¡°ïº¼ ¿Â¶óÀÎ 
Supprimé : C:\Users\antoine\AppData\Roaming\LOVE 
Absent : C:\ProgramData\SweetIM 
Supprimé : C:\Users\antoine\AppData\Local\Chris_Pietschmann_(http__ 
Supprimé : C:\Users\antoine\AppData\Local\vghd 
Supprimé : C:\Program Files (x86)\SweetIM 

¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows 7 Home Premium Edition
Windows Information:		Service Pack 1 (build 7601), 64-bit
Base Board Manufacturer:	Gigabyte Technology Co., Ltd.
BIOS Manufacturer:		Award Software International, Inc.
System Manufacturer:		Gigabyte Technology Co., Ltd.
System Product Name:		GA-880GM-UD2H
Logical Drives Mask:		0x0000001d

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows 7 MBR code detected

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


explorer.exe -> Processus redémarré

Fin : 11:53:09

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

juju666 · Answer

Hello,

J'aimerais avoir les rapports de virustotal quand même stp, merci.

Vois si tu peux supprimer ces 2 desktop.ini ils appartiennent au rootkit :

Non Supprimé : C:\Windows\Assembly\GAC_32\Desktop.ini
Non Supprimé : C:\Windows\Assembly\GAC_64\Desktop.ini 

==============================================

&#9654 Télécharge Malwarebytes' Anti-Malware (MBAM). 

&#9654 enregistre l'exécutable sur le bureau. 

&#9654 Installe-le puis configure-le comme ceci : 

Configuration 

si tu n'as rien modifié fais directement quitter sinon enregistrer  

&#9654 Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

&#9654&#9654&#9654 Ce logiciel gratuit est à garder. 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour manuelles MBAM 

&#9654 Exécute le fichier après l'installation de MBAM 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse. 

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation. 
&#9654 Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. 
&#9654 Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". 
&#9654 Sélectionne "Exécuter un examen complet" 
&#9654 Clique sur "Rechercher" 
&#9654 L'analyse démarre, le scan est relativement long, c'est normal. 

A la fin de l'analyse, un message s'affiche : 

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 

&#9654 Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. 
&#9654 Ferme tes navigateurs. 
&#9654 Si des malwares ont été détectés, clique sur Afficher les résultats. 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le. 

Si MBAM demande à redémarrer le pc : &#9654  fais-le. 

Au redémarrage, relance MBAM, onglet "Rapport/Logs", tu ouvres le dernier et le colle dans ta prochaine réponse. 

A+

Infrared · Answer

Salut,
Voila les deux liens du scan des dll:

https://www.virustotal.com/file/a72e6d59937affc14ceaf55bd5663968c4e78c1399d45c55283552e23a8a86be/analysis/

https://www.virustotal.com/file/b00a7034f2e34350f9c2efd402f786716994fee98d7ae26c9b0ff59dfa8c1fa5/analysis/

Ensuite le rapport du scan complet:
http://pjjoint.malekal.com/files.php?id=20120613_l14n13q14b10y15

Je ne savais pas que j'avais autant de virus, il est plus rapide et en détecte plus
que avast.

juju666 · Answer

Hello,

OK tu as supprimé les deux desktop.ini comme demandé ?

Infrared · Answer

Oui, je les ai bien supprimé.

Merci pour tout, et surtout pour vos réponse.
Je ne penserai pas qu'il faudrait faire tout ça pour supprimer un
un virus récalcitrant;le problème est régler grâce a vous.

Cordialement.

juju666 · Answer

Je serais toi je passerais quand même combofix ...

juju666 · Answer

Hello,

Je te l'avais dis que l'infection avait pris un coup mais été toujours présente !

Tout ça :
c:\windows\assembly\GAC_32\Desktop.ini
c:\windows\assembly\GAC_64\Desktop.ini
c:\windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}\@
c:\windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}\L\00000004.@
c:\windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}\L\1afb2d56
c:\windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}\U\00000004.@
c:\windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}\U\00000008.@
c:\windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}\U\000000cb.@
c:\windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}\U\80000000.@
c:\windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}\U\80000032.@
c:\windows\Installer\{50ca570e-9fba-79b6-319c-b74bea4ce0c2}\U\80000064.@

Une copie infectée de c:\windows\system32\Services.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe 

c'était encore le rootkit Zero Access.

====================================================

Tu peux envoyer ça sur virustotal STP ? (comme tu as fait avec les DLL)

c:\users\antoine\AppData\Roaming\Microsoft\Installer\{4835750F-F8A7-4D3C-A6A9-123E31C12AF8}\NewShortcut3_9B25FD3A1D3B44859FFDB0C3A11BA476.exe 


A+

Infrared · Answer

Voila le scan du fichier:
https://www.virustotal.com/file/d7f182d4d04197b06dcb65a47e6322676e03283ef457492ad3fb1343202f10e1/analysis/1339866167/

Je ne savais pas que c'était encore infecté,désolait.

juju666 · Answer

OK :)

On va contrôler tout ça.

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

ou :ZHPDiag

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 Installe et lance ZHPDiag.exe 

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 Pour me transmettre ton rapport utilise le site http://pjjoint.malekal.com 

&#9654 Clique sur Parcourir et cherche le fichier C:\ZHP\ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Envoyer le fichier".

Un lien de cette forme :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120312_q15b11x7g11u5

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Infrared · Answer

Et voila le lien:
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120616_j7m7l15d6y8

juju666 · Answer

Mozilla pas à jour (12 => 13)

Java pas à jour (7u4 => 7u5)

Désinstalle Spybot il sert à rien

==================================================
Copie ces lignes :

[HKLM\Software\Iminent]    => Infection PUP (Adware.IMBooster)
[HKLM\Software\WOW6432Node\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}]    => Infection BT (Adware.Agent)
[HKLM\Software\WOW6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}]    => Infection BT (Adware.Agent)
[HKLM\Software\WOW6432Node\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}]    => Infection BT (Toolbar.Babylon)
[HKLM\Software\WOW6432Node\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}]    => Infection BT (Toolbar.Babylon)
[HKLM\Software\WOW6432Node\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}]    => Infection BT (Toolbar.Babylon)
[HKLM\Software\WOW6432Node\Iminent]    => Infection PUP (Adware.IMBooster)
O8 - Extra context menu item: Rechercher sur le Web - (.not file.) - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html    => SweetIM Toolbar
[HKLM\Software\SweetIM]    => Toolbar.SweetIM
[HKLM\Software\WOW6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}]    => Toolbar.Agent
[HKLM\Software\Classes\TypeLib\{4d3b167e-5fd8-4276-8fd7-9df19c1e4d19}]    => Toolbar.SweetIM
[HKLM\Software\WOW6432Node\Classes\AppID\{5B1881D1-D9C7-46df-B041-1E593282C7D0}]    => Toolbar.Babylon
[HKLM\Software\WOW6432Node\Classes\CLSID\{80922ee0-8a76-46ae-95d5-bd3c3fe0708d}]    => Toolbar.Agent
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A7BC02AF-1128-4A31-BCF8-1A3EE803D3B3}]    => Toolbar.SweetIM
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A81A974F-8A22-43E6-9243-5198FF758DA1}]    => Toolbar.SweetIM
[HKLM\Software\WOW6432Node\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}]    => Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}]    => Toolbar.Agent
[HKLM\Software\WOW6432Node\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}]    => Toolbar.Agent
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}]    => Toolbar.Agent
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{eee6c360-6118-11dc-9c72-001320c79847}]    => Toolbar.SweetIM
[HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\SearchScopes\{eee6c360-6118-11dc-9c72-001320c79847}]    => Toolbar.SweetIM
[HKCU\Software\SweetIM]    => Toolbar.SweetIM
[HKLM\Software\WOW6432Node\SweetIM]    => Toolbar.SweetIM
EMPTYTEMP
EMPTYFLASH
EMPTYCLSID


ouvre ZHPFIX
Clique sur le H, les lignes copiées vont apparaître
clique sur GO
poste le rapport.

Infrared · Answer

Les deux programmes sont a jour et Spybot désinstallé.

Voila le résultat du rapport de ZHPFIX:

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-17-06-2012-12-14-30.txt
Run by antoine at 17/06/2012 12:14:30
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
ABSENT Key: HKLM\Software\Iminent
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Iminent
SUPPRIME Key*: Menu Contextuel: Rechercher sur le Web
ABSENT Key: HKLM\Software\SweetIM
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
SUPPRIME Key*: HKLM\Software\Classes\TypeLib\{4d3b167e-5fd8-4276-8fd7-9df19c1e4d19}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\AppID\{5B1881D1-D9C7-46df-B041-1E593282C7D0}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\CLSID\{80922ee0-8a76-46ae-95d5-bd3c3fe0708d}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A7BC02AF-1128-4A31-BCF8-1A3EE803D3B3}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A81A974F-8A22-43E6-9243-5198FF758DA1}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
SUPPRIME Key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
SUPPRIME Key*: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{eee6c360-6118-11dc-9c72-001320c79847}
SUPPRIME Key*: HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\SearchScopes\{eee6c360-6118-11dc-9c72-001320c79847}
SUPPRIME Key*: HKCU\Software\SweetIM
SUPPRIME Key*: HKLM\Software\WOW6432Node\SweetIM

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{0119A8C0-B8FA-4732-BDF3-0393B7D1B614}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{0516392D-7C11-4DBB-85ED-ED7E0206AB02}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{07F83971-0CEC-4F04-AEE3-B9C226CF2411}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{10279634-6644-48E4-B015-4AAEB8096398}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{108F7CBA-3FBE-43FE-A1D1-62B85CD44EBD}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{10E700DB-1EC9-4DE8-B6BA-59F0CF0A5F80}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{13BDEA67-C8FF-4B29-87A9-E3308DE32C98}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{13BE4E9D-1B9E-4137-8B38-792B25868954}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{18BAF073-D220-45F7-8C96-F8700240C208}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{18F6C4A9-20E4-4E50-95BE-369107078E4B}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{1C65AD11-7AD3-4BC9-86FB-834A1B6A84A6}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{1E063E4C-D3AE-4D55-BA9E-604F5DFFAE2A}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{222D7EDA-5FE1-4D21-A71A-3B5C3527F50E}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{2747F0BD-85CE-46CF-876E-15046CB53942}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{29BA6EC2-3B9F-489E-AC1E-DC12A7699B38}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{2D74D628-09FC-4A8F-A759-3FAFA7AEF71B}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{30D4C8D3-8246-409E-93D3-7AECA9B3BB30}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{32802041-18DC-4824-B946-77F9A8619DA6}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{364302D5-FF3D-4F03-B7F1-959B7FDAAE01}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{4019C989-A143-4360-A491-86A993528585}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{46D82686-1C2D-4597-BE3A-9AA49607012D}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{492D113A-4777-4BE1-BFA1-CA892A03A164}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{4DBBE4A5-73BE-4652-8460-9CAFAA7713AD}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{4F25283A-B4FE-4CDA-8125-BD77A15BEC10}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{54E5A53C-8BE3-4BA4-8840-1229EDD4753B}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{57EC1BB2-914A-4EB0-AD61-E522798E29B4}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{5D8600EA-E89E-489A-BF2E-B0933BD4200E}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{5E15433E-BA10-4C22-ADE0-F7574587DBDF}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{60B96BF6-5359-4A66-9734-5466C5412A41}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{679E6B63-F0F3-449B-9F00-5380ED0646AB}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{68BAFA50-47CC-4E17-BCA9-5F938C20226D}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{6B28954C-A23F-49A8-BB18-E74C24C0D7EC}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{6FCCE47A-C668-470B-96FF-587E4824E0C8}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{75178C4A-179C-412A-B37B-9FD713F643B9}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{79A96F84-75C3-4121-B260-1204D74F96D2}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{79C559B5-3C5D-4F56-8B86-419FF7DA6A86}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{7A2B85E1-0272-4F14-AC29-2F1CE29F89C0}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{7E1AD48B-6179-4F5C-873B-B2B66101748F}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{898C1DC1-C52F-4130-9A77-75F1FE768FFE}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{A7D68F38-F13F-437F-B81A-06DF6BE4C8CC}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{A8084DF3-1426-4ED0-A43D-93CAB9C32B87}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{B68AB66D-B6BE-483E-BA27-B8552DED07E7}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{B6AAEACB-9EB9-4E65-9D95-4A2AB90A1206}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{C7A624A0-8D7B-4A5A-BF2B-3AA87F9544FB}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{CAE3AD72-FEDA-4F97-8521-45AFC2F1ADCD}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{CC692564-D9F1-489F-810A-B1CB8C87F243}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{D7F62EBC-FB08-4714-9EF8-E4EC9C7BDD2A}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{D803203F-D3DE-46E2-B814-9813A8792E7A}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{E00DFE27-F89E-428D-B7E3-B0559C271A9F}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{E04329F1-F1FC-4E49-8911-DE44C8A34C01}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{E26B0CF1-92DC-44E7-A5B8-CF664C6B391F}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{E34DE5F0-76ED-44DF-8042-7586BC1A9A8E}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{E8813519-3109-421B-918F-4AD8AC77B120}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{E8BF1EBB-B719-41C5-B347-7656A88A161D}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{E9BDC4F6-E8A0-4F62-9FBB-D407D6516AF0}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{EFB41FF8-1FE7-444C-A9AE-8DAACF2F97A9}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{F19C129F-964F-4CDC-B2C7-E93A58BFDD27}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{F5FA7C93-94C3-4626-8A89-84F2DE136957}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{FB7F08D1-9CEF-4324-A13C-3F92060A737D}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{FD41191D-8AA8-4224-A212-0F9B2FE1BE20}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{FD71F470-4FAA-4179-A16F-4C92F53FBFC0}
SUPPRIME Folder: C:\Users\antoine\AppData\Local\{FF5A05CD-3995-4094-BB9B-9292D48452F8}

========== Fichier(s) ==========
ABSENT File: c:\program files (x86)\sweetim	oolbars\internet exploreresources\menuext.html
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:


========== Récapitulatif ==========
23 : Clé(s) du Registre
62 : Dossier(s)
3 : Fichier(s)


End of clean in 00mn 05s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 17/06/2012 12:14:30 [8261]

juju666 · Answer

Nickel :-)

Plus de soucis ? On peut finaliser ?

Infrared · Answer

Non,visiblement,plus de soucis.
Le virus est complétement désintégrer?Car j'ai fait un scan avec avast et Spybot
et il n'on rien trouvé.Je pense que le problème est régler.
Si il n'y a aucune autre chose a faire,oui.

Et surtout merci pour tout! :)
Je continuerai de poser des questions sur ce super site!

juju666 · Answer

Spybot -> poubelle (2ème fois)

============================================

Le ménage : https://gen-hackman.kanak.fr/

Poste le rapport DelFix en suivant l'ordre du tuto :)

Infrared · Answer

Et voila le rapport,il y avait beaucoup de trace en fait:


# DelFix v8.8 - Rapport créé le 17/06/2012 à 14:36:02
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : antoine - ANTOINE-PC (Administrateur)
# Exécuté depuis : C:\Users\antoine\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\pre_scan
Supprimé : C:\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\Swearware

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1023 octets] - [17/06/2012 14:36:02]

########## EOF - C:\DelFix[S1].txt - [1147 octets] ##########

juju666 · Answer

Bah non pas des traces, on a désinstallé les outils simplement :)

Infrared · Answer

Il y a encore un problème, je viens de m'apercevoir que je ne pleut plus exécuter l'indice de performance windows!
Je ne sais pas si cela viens du virus mais je pouvais le faire avant.

juju666 · Answer

pc fixe ou portable ? 

si portable -> tu dois êtres connecté au secteur

Infrared · Answer

Non non PC fixe.
Dès que j'réexécute l'évaluation,ça me fait un écran presque
vide après l'avoir fini.
J'enverrai un screenshot.

juju666 · Answer

Fais la première option : http://wikise.com/showthread.php?2493-SFC-SCANNOW-sur-Windows-7

avec sfc /scannow

Infrared · Answer

Oua merci,
ça marche!Même si je me suis peut-être trompé de sujet.

juju666 · Answer

c'est bon c'est reparti alors ? :D

Infrared · Answer

Eh bien non hélas, je n'y arriverai jamais...
Exactement le même problème qu'au début; encore des messages d'avast
tout les cinq minutes avec les deux même virus du début.
Dois-je exécuter les mêmes opérations depuis le début?

juju666 · Answer

pouarf

repasse un coup de combofix ouais

juju666 · Answer

&#9654 Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix 

&#9654 Ferme les fenêtres  de tous les programmes en cours. 
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur combofix renommé 

Si tu es sur Windows XP, laisse-le installer la console de récupération.

&#9654 Ne touche à rien durant le scan

ComboFix devrait redémarrer ton PC.

&#9654 n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

Infrared · Answer

Tout c'est déroulé normalement mais il n'y pas de combofix.txt 
a la racine du disque. 
Par contre dans C:\monprénom , il y en a un: 
http://pjjoint.malekal.com/files.php?id=20120627_l5m5j10c6s7
Dois-je le relancer?

juju666 · Answer

nan c'bon

mais j'me demande comment t'as pas te réinfecter si vite.

t'as été sur quel site avant de te re-retrouver infecté ?

Infrared · Answer

Eh bien, je laisse toujours allumé avast pourtant,
Je le désactive seulement pour un certain programme
c'est "super" un, comme son nom l'indique , un super convertisseur, mais je ne suis pas connecter a internet pendant.
Je traîne souvent sur des site de minecraft car j'ai un serveur.

C'es peut-être aussi a cause des recherche de programme
pour ipaq (ou pocket pc), un vieux modèle de mini ordinateur portable ou les sites ne sont pas mise a jour, c'est assez récent car je viens de le retrouvé.

juju666 · Answer

mouais

si tu retrouve l'url avec le sirefef fait moi signe ici :)

Avast détecte des virus dans service.exe

35 réponses

Votre réponse

Discussions similaires

Newsletters