site pirate, infection Résolu/Fermé

Question

Bonjour,  
mon site a été totalement piraté et HS ... 
besoin de désinfection avant toutes choses 
( g3n-h@ckm@n ) au courant ... mais est-il là ???
@+ 


Configuration: windows xp et vista 
FF et parfois IE

le 'www' est fait aussi pour communiquer, partager et échanger, non ? 
merci d'avoir la politesse de répondre à ceux qui essaient de vous aider

1@@9 · Answer

bonsoir fait un balayage avec https://www.emsisoft.com/fr/home/antimalware/?id=6524928

Utilisateur anonyme · Answer

Hey !

Ton site ? Désinfection ?

Si tu veux voir génie MP-le ;-)

juju666 · Answer

Yop,

Suite à ton MP

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

ou :ZHPDiag

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 Installe et lance ZHPDiag.exe 

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 Pour me transmettre ton rapport utilise le site http://pjjoint.malekal.com 

&#9654 Clique sur Parcourir et cherche le fichier C:\ZHP\ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Envoyer le fichier".

Un lien de cette forme :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120312_q15b11x7g11u5

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse. 

~~~~~~

@Saachaa : tu pourras continuer si je dois partir :p

Utilisateur anonyme · Answer

bonjour à tous les padawans ,

il y a du monde par ici  :P

il est ou ce beau rapport de zhpdiag ?

Utilisateur anonyme · Answer

il se peut que le programme ne répond pas, laisse le un peu, il va bien términer le scan  :D

bg62 · Answer

ouf  enfin ;)
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120614_i5v6k13e14x10
;)

juju666 · Answer

T'es infecté par un rootkit, voilà pourquoi tes mots de passe ont été volés ! /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

bg62 · Answer

>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
avira = rien à faire pour désactiver
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ 
rien demandé !!!
mais plus aucun accés au web avec n'importe quel navigateur
j'ai redémarré le pc et plusieurs tentatives avec firefox ...
apparement ça y est ;)
le rapport:
ComboFix 12-06-14.01 - bg 14/06/2012  20:46:09.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.3066.1792 [GMT 2:00]
Lancé depuis: c:\users\bg\Desktop\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Mozilla Maintenance Service
c:\program files\Mozilla Maintenance Service\maintenanceservice.exe
c:\program files\Mozilla Maintenance Service\Uninstall.exe
c:\program files\YooBooton	bHElper.dll
c:\programdata\00DB1C16CF.sys
c:\programdata\3D3
c:\programdata\3D3\Frames\FBRU_AA-1.frame
c:\programdata\3D3\Frames\FBRU_AA-2.frame
c:\programdata\3D3\Frames\FBRU_AB-1.frame
c:\programdata\3D3\Frames\FBRU_AB-2.frame
c:\programdata\3D3\Frames\FBRU_AB-3.frame
c:\programdata\3D3\Frames\FBRU_AB-4.frame
c:\programdata\3D3\Frames\FBRU_AC-1.frame
c:\programdata\3D3\Frames\FBRU_AC-2.frame
c:\programdata\3D3\Frames\FBRU_AD-1.frame
c:\programdata\3D3\Frames\FBRU_AD-2.frame
c:\programdata\3D3\Frames\FCHI_AA1.frame
c:\programdata\3D3\Frames\FCIR_AA-1.frame
c:\programdata\3D3\Frames\FCIR_AA-2.frame
c:\programdata\3D3\Frames\FOVL_AA1.frame
c:\programdata\3D3\Frames\FOVL_AA2.frame
c:\programdata\3D3\Frames\FOVL_BB1.frame
c:\programdata\3D3\Frames\FPFR_WW1.frame
c:\programdata\3D3\Frames\FPHO_BB-1.frame
c:\programdata\3D3\Frames\FSEA_AA-1.frame
c:\programdata\3D3\Frames\FSLD_AA-1.frame
c:\programdata\3D3\Frames\FSLD_BB-1.frame
c:\programdata\3D3\Frames\FSTR_AA-1.frame
c:\programdata\3D3\Frames\FSTR_AA-2.frame
c:\programdata\3D3\mm.db
c:\programdata\F1236EEA56.sys
c:\users\bg\AppData\Roaming\1&1
c:\users\bg\AppData\Roaming\1&1\1&1 EasyLogin\EasyLogin.log
c:\users\bg\AppData\Roaming\FFSJ
c:\users\bg\AppData\Roaming\FFSJ\FFSJ.cfg
c:\windows\system32\hjgruivrpuxxbp.dat
c:\windows\system32\SET79A.tmp
c:\windows\system32\Temp
c:\windows\XSxS
.
.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_hjgruiixymomfp
-------\Service_hjgruiixymomfp
-------\Service_MozillaMaintenance
-------\Service_MozillaMaintenance
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-05-14 au 2012-06-14  ))))))))))))))))))))))))))))))))))))
.
.
2012-06-14 19:10 . 2012-06-14 19:13	--------	d-----w-	c:\users\bg\AppData\Local	emp
2012-06-14 19:10 . 2012-06-14 19:10	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-06-14 17:52 . 2012-06-14 17:52	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2012-06-14 13:40 . 2012-06-14 17:52	--------	d-----w-	C:\ZHP
2012-06-14 13:40 . 2012-06-14 17:52	--------	d-----w-	c:\program files\ZHPDiag
2012-06-13 19:50 . 2012-06-13 19:51	--------	d-----w-	c:\users\bg\AppData\Roaming\pdfforge
2012-06-13 19:50 . 1998-06-23 23:00	137000	----a-w-	c:\windows\system32\MSMAPI32.OCX
2012-06-13 19:50 . 2012-05-14 07:17	79360	----a-w-	c:\windows\system32\pdfcmon.dll
2012-06-13 19:50 . 2012-06-13 19:51	--------	d-----w-	c:\program files\PDFCreator
2012-06-13 19:50 . 1998-07-05 23:00	23552	----a-w-	c:\windows\system32\MSMPIDE.DLL
2012-06-13 19:50 . 2012-06-13 19:50	--------	d-----w-	c:\users\bg\AppData\Local\CRE
2012-06-13 19:50 . 2012-06-13 19:50	--------	d-----w-	c:\program files\Conduit
2012-06-13 19:50 . 2012-06-13 19:54	--------	d-----w-	c:\users\bg\AppData\Local\Conduit
2012-06-13 19:48 . 2012-06-13 19:58	--------	d-----w-	c:\programdata\SweetIM
2012-06-13 19:48 . 2012-06-13 19:58	--------	d-----w-	c:\program files\SweetIM
2012-06-13 19:48 . 2012-06-13 19:48	--------	d-----w-	c:\programdata\Premium
2012-06-13 19:48 . 2012-06-13 19:48	--------	d-----w-	c:\programdata\InstallMate
2012-06-13 13:36 . 2012-06-13 13:36	--------	d-----w-	c:\users\bg\AppData\Roaming\Pencil
2012-06-13 13:36 . 2012-06-13 13:36	--------	d-----w-	c:\users\bg\AppData\Local\Pencil
2012-06-13 07:37 . 2012-04-23 16:00	984064	----a-w-	c:\windows\system32\crypt32.dll
2012-06-13 07:37 . 2012-04-23 16:00	98304	----a-w-	c:\windows\system32\cryptnet.dll
2012-06-13 07:37 . 2012-04-23 16:00	133120	----a-w-	c:\windows\system32\cryptsvc.dll
2012-06-13 07:36 . 2012-05-01 14:03	180736	----a-w-	c:\windows\system32\driversdpwd.sys
2012-06-13 07:35 . 2012-05-15 19:51	2045440	----a-w-	c:\windows\system32\win32k.sys
2012-06-12 13:57 . 2012-06-12 13:57	--------	d-----w-	c:\users\bg\AppData\Local\Macromedia
2012-06-11 16:00 . 2012-06-11 16:01	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2012-06-11 16:00 . 2012-04-04 13:56	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-06-11 15:50 . 2012-06-11 15:50	--------	d-----w-	c:\programdata\Kaspersky Lab
2012-06-11 15:50 . 2012-06-11 15:50	--------	d-----w-	c:\program files\Kaspersky Lab
2012-06-11 15:48 . 2012-06-11 15:48	--------	d-----w-	c:\program files\1&1
2012-06-08 12:46 . 2012-06-09 05:48	--------	d-----w-	c:\program files\WinMerge
2012-06-06 14:36 . 2012-06-13 19:20	772592	----a-w-	c:\windows\system32
pDeployJava1.dll
2012-06-06 14:16 . 2012-06-06 14:16	--------	d-----w-	c:\program files\MySQL
2012-06-06 13:47 . 2012-06-06 13:47	--------	d-----w-	c:\users\bg\paros
2012-06-05 18:08 . 2012-06-05 18:37	--------	d-----w-	C:	unisie
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-13 19:41 . 2012-03-30 12:20	426184	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-06-13 19:41 . 2011-05-15 07:17	70344	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-13 19:20 . 2010-04-26 10:38	687600	----a-w-	c:\windows\system32\deployJava1.dll
2012-05-08 16:40 . 2012-06-13 07:39	6737808	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{5F00CE54-AF2D-4D2F-A86F-C31AE26E490F}\mpengine.dll
2012-04-03 08:16 . 2012-05-09 09:11	3602816	----a-w-	c:\windows\system32
tkrnlpa.exe
2012-04-03 08:16 . 2012-05-09 09:11	3550080	----a-w-	c:\windows\system32
toskrnl.exe
2012-03-30 12:39 . 2012-05-09 09:13	905600	----a-w-	c:\windows\system32\drivers	cpip.sys
2012-03-20 23:28 . 2012-05-09 09:13	53120	----a-w-	c:\windows\system32\drivers\partmgr.sys
2003-03-21 11:45 . 2009-07-08 12:11	250544	----a-w-	c:\program files\Common Files\keyhelp.ocx
2012-05-08 10:13 . 2011-05-24 16:32	97208	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
2006-05-03 09:06	163328	--sh--r-	c:\windows\System32\flvDX.dll
2007-02-21 10:47	31232	--sh--r-	c:\windows\System32\msfDX.dll
2008-03-16 12:30	216064	--sh--r-	c:\windows\System32
bDX.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2012-06-04 14:12	1310040	----a-w-	c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2012-06-04 1310040]
.
[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-10-31 21:02	94208	----a-w-	c:\users\bg\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-10-31 21:02	94208	----a-w-	c:\users\bg\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-10-31 21:02	94208	----a-w-	c:\users\bg\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-10-31 21:02	94208	----a-w-	c:\users\bg\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-08-04 14:45	40496	----a-w-	c:\program files\EgisTec\MyWinLocker 3\x86\PSDProtect.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"Sidebar"="c:\program files\windows sidebar\sidebar.exe" [2009-04-11 1233920]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-28 39408]
"SEO Soft"="c:\divers\SeoSoft\seosoft.exe" [2012-04-07 9688064]
"KSS"="c:\program files\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe" [2012-04-25 202296]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2012-06-13 888720]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2008-07-24 6265376]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-10 13605408]
"Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2011-07-31 126976]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-02-15 258512]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
"SweetIM"="c:\program files\SweetIM\Messenger\SweetIM.exe" [2012-05-29 115032]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer2"=wdmaud.drv
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^StartUp^ProjectWhois.lnk]
backup=c:\windows\pss\ProjectWhois.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-01-03 07:37	843712	----a-w-	c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager]
2008-08-14 06:58	611712	----a-w-	c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\crlregistrationf]
2003-02-18 13:16	327680	----a-w-	c:\program files\Adobe\Adobe Photoshop CS4\Plug-ins\KPT Collection\Register\Registration.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Quick Search Box]
2011-07-31 13:24	126976	----a-w-	c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2009-09-27 18:13	133104	----atw-	c:\users\bg\AppData\Local\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LxrAutorun]
2006-11-09 08:00	24576	----a-w-	c:\users\bg\AppData\Local\Lexar Media\LxrAutorun.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2010-11-10 00:54	4240760	----a-w-	c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2009-02-10 12:38	92704	----a-w-	c:\windows\System32
vmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 10:17	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SEO Soft]
2012-04-07 16:12	9688064	----a-w-	c:\divers\SeoSoft\seosoft.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2012-01-17 09:07	252296	----a-w-	c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
2010-07-04 19:51	17408	----a-w-	c:\program files\Unlocker\UnlockerAssistant.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
2008-01-21 02:25	202240	----a-w-	c:\program files\Windows Media Player\wmpnscfg.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun-]
"Google Update"="c:\users\bg\AppData\Local\Google\Update\GoogleUpdate.exe" /c
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-disabled]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1064041974-2318268328-94334938-1000]
"EnableNotificationsRef"=dword:00000001
.
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
Akamai	REG_MULTI_SZ   	Akamai
.
Contenu du dossier 'Tâches planifiées'
.
2009-06-04 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2009-05-08 09:39]
.
2012-06-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 15:44]
.
2012-06-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-30 15:44]
.
2012-03-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1064041974-2318268328-94334938-1000Core1cd0a9ababe758d.job
- c:\users\bg\AppData\Local\Google\Update\GoogleUpdate.exe [2009-09-27 18:13]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://home.sweetim.com/?barid={D06FCABA-B590-11E1-B396-0015AFFC49D0}
mStart Page = hxxp://home.sweetim.com/?barid={D06FCABA-B590-11E1-B396-0015AFFC49D0}
uInternet Settings,ProxyOverride = local
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Free YouTube Download - c:\users\bg\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Free YouTube to Mp3 Converter - c:\users\bg\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\bg\AppData\Roaming\Mozilla\Firefox\Profiles\mrkwrbzv.default\
FF - prefs.js: browser.search.defaulturl - 
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
.
- - - - ORPHELINS SUPPRIMES - - - -
.
URLSearchHooks-{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe
MSConfigStartUp-SpybotSD TeaTimer - c:\program files\Spybot - Search & Destroy\TeaTimer.exe
AddRemove-Mozilla Thunderbird (2.0.0.23) - f:\portablethunderbird\App	hunderbird\uninstall\helper.exe
AddRemove-MozillaMaintenanceService - c:\program files\Mozilla Maintenance Service\uninstall.exe
AddRemove-_{ADDBE07D-95B8-4789-9C76-187FFF9624B4} - c:\program files\Corel\CorelDRAW Essential Edition 3\Programs\MSILauncher {ADDBE07D-95B8-4789-9C76-187FFF9624B4}
.
.
.
**************************************************************************
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Akamai]
"ServiceDll"="C:/Program Files/Common Files/Akamai/rswin_3647.dll"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Akamai]
"ServiceDll"="C:/Program Files/Common Files/Akamai/rswin_3647.dll"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-1064041974-2318268328-94334938-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{BAEF7A3B-A9CA-C0F2-BAC1-CDBD6BD52671}*]
"haffdklhinfbfkbl"=hex:6b,61,70,6c,65,69,70,69,66,6d,6d,6e,68,6d,6a,63,70,67,
   65,62,69,6d,00,00
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]
"Version"=hex:e0,23,7c,b3,03,cc,34,24,7b,d4,a3,ef,f2,a8,6f,6c,2c,db,ec,b6,12,
   c2,9f,69,cb,e7,2c,f0,96,5b,60,e4,a8,3a,f0,5b,9c,a7,8d,a7,8c,d2,4a,15,48,8e,\
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\InprocServer32]
@DACL=(02 0000)
@="c:\Program Files\pdfforge Toolbar\SearchSettings.dll"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
"Version"=hex:e0,23,7c,b3,03,cc,34,24,7b,d4,a3,ef,f2,a8,6f,6c,2c,db,ec,b6,12,
   c2,9f,69,cb,e7,2c,f0,96,5b,60,e4,a8,3a,f0,5b,9c,a7,8d,a7,8c,d2,4a,15,48,8e,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(5704)
c:\program files\SweetIM\Messenger\mgAdaptersProxy.dll
c:\users\bg\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll
c:\users\bg\AppData\Roaming\Dropbox\bin\MSVCP71.dll
c:\program files\EgisTec\MyWinLocker 3\x86\psdprotect.dll
c:\program files\EgisTec\MyWinLocker 3\x86\sysenv.dll
c:\program files\EgisTec\MyWinLocker 3\x86\mwlUI.dll
c:\program files\EgisTec\MyWinLocker 3\x86\GDIExtendCtrl.dll
c:\program files\EgisTec\MyWinLocker 3\x86\mwlOP.dll
c:\program files\EgisTec\MyWinLocker 3\x86\CryptoAPI.dll
c:\program files\EgisTec\MyWinLocker 3\x86\ShowErrMsg.dll
c:	humbsplus\cswshlex.dll
c:\program files\Common Files\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32
vvsvc.exe
c:\windows\system32undll32.exe
c:\program files\EgisTec\VITAKEY\CompPtcVUI.exe
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\ASTSRV.EXE
c:\windows\system32\LxrSII1s.exe
c:\program files\McAfee\SiteAdvisor\McSACore.exe
c:\program files\EgisTec\MyWinLocker 3\x86\MWLService.exe
c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe
c:\windows\system32undll32.exe
c:\windows\system32\PSIService.exe
c:\program files\Common Files\Protexis\License Service\PsiService_2.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Photodex\ProShowGold\ScsiAccess.exe
c:\program files\TeamViewer\Version6\TeamViewer_Service.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\WUDFHost.exe
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\windows\system32\conime.exe
c:\windows\RtHDVCpl.exe
c:\windows\ehome\ehmsas.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Windows Media Player\wmplayer.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\ehome\ehsched.exe
c:\windows\ehome\ehRecvr.exe
c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe
.
**************************************************************************
.
Heure de fin: 2012-06-14  21:22:40 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-06-14 19:22
.
Avant-CF: 104 192 176 128 octets libres
Après-CF: 104 166 076 416 octets libres
.
- - End Of File - - A02E0DC81E079CA6ECB1ED5EB3A9A1E0

juju666 · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: ClearJavaCache:: Folder:: c:\users\bg\AppData\Roaming\pdfforge c:\program files\Conduit c:\users\bg\AppData\Local\Conduit c:\programdata\SweetIM c:\program files\SweetIM c:\programdata\Premium Registry:: [-HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}] [-HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{EEE6C35B-6118-11DC-9C72-001320C79847}"=- [-HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}] [-HKEY_CLASSES_ROOT\SWEETIE.IEToolbar] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\InprocServer32] DDS:: uStart Page = hxxp://home.sweetim.com/?barid={D06FCABA-B590-11E1-B396-0015AFFC49D0} mStart Page = hxxp://home.sweetim.com/?barid={D06FCABA-B590-11E1-B396-0015AFFC49D0} ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

juju666 · Answer

@bg62

OK. On va continuer la désinfection des navigateurs alors :

&#9654 Télécharge sur cette page : AdwCleaner (de Xplode) 

&#9654 Clique sur Télécharger et enregistre le fichier sur ton Bureau

&#9654 Exécute AdwCleaner.

Sur le menu principal :
    
&#9654 Clique sur Suppression et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

bg62 · Answer

rapide lui ... ;)
rapport:
# AdwCleaner v1.609 - Rapport créé le 15/06/2012 à 11:59:28
# Mis à jour le 10/06/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : bg - PC-DE-BG
# Exécuté depuis : C:\Users\bg\desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\bg\AppData\Local\Conduit
Dossier Supprimé : C:\Users\bg\AppData\Local\Google\Chrome\User Data\Default\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
Dossier Supprimé : C:\Users\bg\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}
Dossier Supprimé : C:\Users\bg\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\bg\AppData\LocalLow\pdfforge
Dossier Supprimé : C:\Users\bg\AppData\LocalLow\Search Settings
Dossier Supprimé : C:\Users\bg\AppData\Roaming\pdfforge
Dossier Supprimé : C:\ProgramData\SweetIM
Dossier Supprimé : C:\Program Files\Conduit
Dossier Supprimé : C:\Program Files\SweetIM
Fichier Supprimé : C:\Users\bg\AppData\Roaming\Mozilla\Firefox\Profiles\mrkwrbzv.default\searchplugins\SweetIm.xml

***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2851639
Clé Supprimée : HKCU\Software\Search Settings
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\SweetIm
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\pdfforge
Clé Supprimée : HKLM\SOFTWARE\Search Settings
Clé Supprimée : HKLM\SOFTWARE\SweetIM
Clé Supprimée : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils
Clé Supprimée : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils.1
Clé Supprimée : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator
Clé Supprimée : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator.1
Clé Supprimée : HKLM\SOFTWARE\Classes\sim-packages
Clé Supprimée : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar.1
Clé Supprimée : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook
Clé Supprimée : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.sweetie
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.sweetie.1
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SweetIM.exe

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{82AC53B4-164C-4B07-A016-437A8388B81A}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A4A0CB15-8465-4F58-A7E5-73084EA2A064}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{BFB5F154-9212-46F3-B547-AC6106030A54}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E67D5BC7-7129-493E-9281-F47BDAFACE4F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EEE6C358-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EEE6C359-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{BFB5F154-9212-46F3-B547-AC6106030A54}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8736C681-37A0-40C6-A0F0-4C083409151C}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BFB5F154-9212-46F3-B547-AC6106030A54}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{BFB5F154-9212-46F3-B547-AC6106030A54}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{EEE6C35B-6118-11DC-9C72-001320C79847}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{4B3803EA-5230-4DC3-A7FC-33638F3D3542}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{BFB5F154-9212-46F3-B547-AC6106030A54}]

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Page] = hxxp://home.sweetim.com/?barid={D06FCABA-B590-11E1-B396-0015AFFC49D0} --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://home.sweetim.com/?barid={D06FCABA-B590-11E1-B396-0015AFFC49D0} --> hxxp://www.google.com

-\ Mozilla Firefox v12.0 (fr)

Nom du profil : default 
Fichier : C:\Users\bg\AppData\Roaming\Mozilla\Firefox\Profiles\mrkwrbzv.default\prefs.js

Supprimée : user_pref("extensions.linkextend.addit.remoteInstallItems", "{ \"software\": {\"13\": {\"id\": \"13\[...]
Supprimée : user_pref("extensions.s4fToolbar.si-blekko-rank", true);

-\ Google Chrome v18.0.1025.168

Fichier : C:\Users\bg\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée :    "homepage": "hxxp://home.sweetim.com/?barid={D06FCABA-B590-11E1-B396-0015AFFC49D0}",
Supprimée :    "urls_to_restore_on_startup": [   "hxxp://home.sweetim.com/?barid={D06FCABA-B590-11E1-B396-0015AF[...]

-\ Opera v11.64.1403.0

Fichier : C:\Users\bg\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [7127 octets] - [15/06/2012 11:59:28]

########## EOF - C:\AdwCleaner[S1].txt - [7255 octets] ##########

@+

juju666 · Answer

Ouais ben mon cfscript n'a pas fonctionné quoi.
puisqu'adwcleaner a supprimé des dossiers qui étaient censés être partis avec les instructions que j'ai donné à combofix.

&#9654 Télécharge Malwarebytes' Anti-Malware (MBAM). 

&#9654 enregistre l'exécutable sur le bureau. 

&#9654 Installe-le puis configure-le comme ceci : 

Configuration 

si tu n'as rien modifié fais directement quitter sinon enregistrer  

&#9654 Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

&#9654&#9654&#9654 Ce logiciel gratuit est à garder. 

=================================================== 

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour manuelles MBAM 

&#9654 Exécute le fichier après l'installation de MBAM 

=================================================== 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse. 

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation. 
&#9654 Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte. 
&#9654 Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche". 
&#9654 Sélectionne "Exécuter un examen complet" 
&#9654 Clique sur "Rechercher" 
&#9654 L'analyse démarre, le scan est relativement long, c'est normal. 

A la fin de l'analyse, un message s'affiche : 

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 

&#9654 Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. 
&#9654 Ferme tes navigateurs. 
&#9654 Si des malwares ont été détectés, clique sur Afficher les résultats. 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le. 

Si MBAM demande à redémarrer le pc : &#9654  fais-le. 

Au redémarrage, relance MBAM, onglet "Rapport/Logs", tu ouvres le dernier en date et le colle dans ta prochaine réponse.

afideg · Answer

Hello TLM

Merci juju pour ta réponse à cette question https://forums.commentcamarche.net/forum/affich-25377261-site-pirate-infection#29

Al.

bg62 · Answer

ouf ...
voici:
Malwarebytes Anti-Malware (Essai) 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.17.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
bg :: PC-DE-BG [administrateur]

Protection: Activé

17/06/2012 08:12:24
mbam-log-2012-06-17 (08-12-24).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 1307447
Temps écoulé: 13 heure(s), 48 minute(s), 41 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 10
C:\Users\bg\AppData\Local\Thinstall\Cache\Stubs\2aba389a4eabf417f626ec34db11fdfeb5c9882e\java.exe (Trojan.Backdoor) -> Mis en quarantaine et supprimé avec succès.
C:\Users\bg\AppData\Local\Thinstall\Cache\Stubs\7b7ea856c5b1c32f37246d1a3f82a09a7999b71c\SystemControl.exe (Trojan.Backdoor) -> Mis en quarantaine et supprimé avec succès.
C:\Users\bg\AppData\Local\Thinstall\Cache\Stubs\8f76ced44796e3b289c5a16241bc87db1ff5f46b\verclsid.exe (Trojan.Backdoor) -> Mis en quarantaine et supprimé avec succès.
C:\Users\bg\AppData\Local\Thinstall\Cache\Stubs\94d64b6d858bde5687f61e096506bb9ee21af6e\JSEd.exe (Trojan.Backdoor) -> Mis en quarantaine et supprimé avec succès.
C:\Users\bg\AppData\Local\Thinstall\Cache\Stubs\98e92d89a7afe41fdc73ed461e862fe263355c82\WebsiteLayoutMaker.exe (Trojan.Backdoor) -> Mis en quarantaine et supprimé avec succès.
C:\Users\bg\AppData\Local\Thinstall\Cache\Stubs\9e5eadc64a350bd2f2dffcce12dcee62bca\ssvagent.exe (Trojan.Backdoor) -> Mis en quarantaine et supprimé avec succès.
C:\Users\bg\AppData\Local\Xenocode\Sandbox\1.0.0.0\2009.12.29T02.54\Virtual\STUBEXE\8.0.1112\@PROGRAMFILES@\Bibble Labs\Bibble 5\build\bibble5pro.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\bg\AppData\Local\Xenocode\Sandbox\1.0.0.0\2009.12.29T02.54\Virtual\STUBEXE\8.0.1112\@PROGRAMFILES@\Bibble Labs\Bibble 5\build\Splash.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\bg\AppData\Roaming\Thinstall\ThumbsPlus version 7 SP2\1000000800002i\svchost.exe (Trojan.IRCBot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\bg\AppData\Roaming\Thinstall\ThumbsPlus version 7 SP2\400000a5a00002i\Thumbs.exe (Trojan.IRCBot) -> Mis en quarantaine et supprimé avec succès.

(fin)

@+

juju666 · Answer

Ah ben c'est du propre ^^
Dis moi, tes logiciels pour ton site là; sont légaux ? Me semblent pas au vu de ce que vient de supprimer MBAM, t'avais une collection de portes dérobées ... Aie ...

Fais une analyse online avec Eset STP : https://www.eset.com/fr/home/products/online-scanner/

(analyse à faire avec internet expl'horreur ^^)

juju666 · Answer

Bien.

Refais moi un ptit ZHPdiag pour voir (toujours en clic droit -> exécuter en tant qu'admin)

Coche tout au tournevis puis clic sur la loupe.

Rapport à héberger

+

bg62 · Answer

ok voilà :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120618_v15r11o10p12c8
@+

juju666 · Answer

Hello,

Bon ben j'espère qu'ils sont aux archives car je vais pas m'amuser à désinfecter toute ma vie ton pc non plus
ne t'étonnes plus d'avoir vu ton site "hacké" vu ton comportement sur le net !

A lire de toute urgence : https://forum.malekal.com/viewtopic.php?t=893&start=

juju666 · Answer

bah alors tu "teste" pas sous machine hôte tu fais ça en VM ou avec sandboxie

refais moi un zhpdiag avec tout coché au tournevis

bg62 · Answer

voilà:
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120619_b15w15x9n514
@+

juju666 · Answer

moi ça me parait bon

reste ceci : https://gen-hackman.kanak.fr/

bg62 · Answer

les 2 premiers: WhyIGotInfected v1.5.4(by Tigzy) ******************************** Run : 20/06/2012 11:36:28 [Normal Mode] Machine : PC-DE-BG (2 CPUs) [bg : ADMIN] OS: Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (x86) ~~ Plugins check: ~~ UPTODATE [Microsoft® Windows Vista(TM) Édition Familiale Premium ] Current : Service Pack 2 -- Latest : Service Pack 2 UPTODATE [Firefox] Current : 13.0.1 -- Latest : 13.0.1 UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421 UPTODATE [Java 7] Current : 1.7.0_05 -- Latest : 1.7.0_05 UPTODATE [Adobe Reader] Current : 10 -- Latest : 10 UPTODATE [Adobe Flash] Current : 11.3.300.257 -- Latest : 11.3.300.257 UPTODATE [Adobe Flash ActiveX] Current : 11.3.300.257 -- Latest : 11.3.300.257 UPTODATE [Adobe Flash FF Plugin] Current : 11.3.300.257 -- Latest : 11.3.300.257 Finished WIGIReport[0].txt et WhyIGotInfected v1.5.4(by Tigzy) ******************************** Run : 20/06/2012 11:41:11 [Normal Mode] Machine : PC-DE-BG (2 CPUs) [bg : ADMIN] OS: Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (x86) ~~ Plugins check: ~~ UPTODATE [Microsoft® Windows Vista(TM) Édition Familiale Premium ] Current : Service Pack 2 -- Latest : Service Pack 2 UPTODATE [Firefox] Current : 13.0.1 -- Latest : 13.0.1 UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421 UPTODATE [Java 7] Current : 1.7.0_05 -- Latest : 1.7.0_05 UPTODATE [Adobe Reader] Current : 10 -- Latest : 10 UPTODATE [Adobe Flash] Current : 11.3.300.257 -- Latest : 11.3.300.257 UPTODATE [Adobe Flash ActiveX] Current : 11.3.300.257 -- Latest : 11.3.300.257 UPTODATE [Adobe Flash FF Plugin] Current : 11.3.300.257 -- Latest : 11.3.300.257 Finished WIGIReport[0].txt ; WIGIReport[1].txt

Site pirate, infection

22 réponses

Discussions similaires