Un troyens me ferme mes analyses anti.virus Résolu/Fermé

Question

Bonjour à tous,

Voilà le problème :
Ce soir en arrivant devant mon Pc j'ai vu la souris bouger et ouvrir mes fichiers et plus grave aller sur la page internet de ma banque. Je décides donc de réinstaller "the cleaner" et "zonealarm" mais le gros souci c'est qu'il ferme systématiquement mes analyses en cours et donc je suis complètement impuissant.

J'aimerai beaucoup le débusquer car ce n'est vraiment pas agréable d'être espionné. Alors comment procéder ?

Merci.

Configuration: iPad / Safari 7534.48.3

juju666 · Answer

Salut,

Nous allons réaliser un diagnostic de ton PC : 

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

ou :ZHPDiag

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 Installe et lance ZHPDiag.exe ( Si tu es sous Vista ou 7, une fois le logiciel ouvert clique sur le bouton "UAC")

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 Pour me transmettre ton rapport utilise le site http://pjjoint.malekal.com 

&#9654 Clique sur Parcourir et cherche le fichier C:\ZHP\ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Envoyer le fichier".

Un lien de cette forme :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120312_q15b11x7g11u5

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Joakim · Answer

Merci pour la rapidité.

Le souci c'est qu'il me plante tout en direct dès que je commences à toucher à la sécurité... La je suis sur l'IPad pour envoyer les messages.

juju666 · Answer

Redémarre en mode sans échec avec réseau (tapote F8)

Depuis le mode sans échec :

&#9654 Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix 

&#9654 Ferme les fenêtres  de tous les programmes en cours. 
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur combofix renommé 

Si tu es sur Windows XP, laisse-le installer la console de récupération.

&#9654 Ne touche à rien durant le scan

ComboFix devrait redémarrer ton PC.

&#9654 n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

Joakim · Answer

Je n'ai pas internet en mode sans échec.... Ça va être compliqué.

Je suis sous windows 7. Je viens de lancer thé cleaner puis j'attends l'analyse pour te dire si il trouve quelque chose.

Joakim · Answer

The cleaner : aucun malware detecté.

Je vais essayer de faire la première manip que tu as mis, mais il est très long à demarer ce soir.... Et j'ai l'impression que beaucoup de choses ont été reconfigurer à sa guise... C'est possible ?

Joakim · Answer

Bon la ce n'est pas bon... Toute opération m'est impossible, tout les programmes plantent (ne répond plus)

juju666 · Answer

C'est quoi ce truc The Cleaner, ça vaut rien du tout.

Je n'ai pas internet en mode sans échec.... Ça va être compliqué. 

Redémarre en mode sans échec avec réseau (tapote F8)

Joakim · Answer

Bonjour , l'analyse avec combo Fox est restée au point mort au niveau " étape 4 terminée "

juju666 · Answer

Hello,

J'ai pas dis mon dernier mot, on va l'avoir ton truc ^^

Fais l'opération en mode sans échec avec prise en charge du réseau, comme pour combofix.

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan

joakim · Answer

Voila j'ai fait comme indiqué ci dessus , voici le lien du rapport :


http://pjjoint.malekal.com/files.php?id=20120626_t15b13u8w7i14

Merci

g3n-h@ckm@n · Answer

juste pour verifications , tu peux me fournir c:\pre_scan\debug.txt ?

joakim · Answer

voici :

[Ret_Reg_Tmgr]
[Stop_Proc]
[Assoc_Ext]
[List_sess]
[Recup_List_File_sing]
[Recup_List_File_Doub]
[Assoc_net]
[Corr_Exp]
[Corr_Sys]
[Rest_P]
[Header]
[Nav_srch]
[FMWK_list]
[Head_sess]
[1st_MD5]
[Proc_Act_List]
[winlog_list]
[Param_svc]
[Param_IE]
[IE_List | CLSID]
[FF_Pref]
[Host]
[Del_svchost]
[Del_Recycl]
[Del_Cu_SFT]
[Del_LM_SFT]
[Del_Cu_uninst]
[Del_Lm_uninst]
[Del_Cu]
[Del_Cu_M$]
[Del_Lm_M$]
[Del_SII]
[Del_HKCR_Trac]
[Del_Gen_CLSID]
[Del_ActX]
[Del_Reg_Rtk]
[Del_win_*.ext]
[Del_File_Rtk]
[Del_comFile_ext]
[Del_AV201*_Rec]
[Del_File_Ramn]
[Del_File_Locapp_Ext]
[Del_FileReg_Tsk]
[Del_Rog_Run1]
[Del_Rog_Run2]
[Del_sshnass_FileReg_Run]
[Del_Rog_Run3]
[Del_FW_Reg]
[Del_Reg_Streg]
[Del_Rog_Run4]
[Del_FileReg_dll]
[Del_Rog_ActX_Notfy]
[Del_File_lnk]
[Del_File_rog32]
[Del_Fold_appd]
[Del_File_appd]
[Del_File_user_Ext]
[Del_File_appd_Ext]
[Del_Fold_win]
[Del_Fold_PF]
[Del_Fold_start]
[Del_File_comapp_Ext]
[Del_File_Hom_Ext_&_Ext]
[Del_File_win_Ext_&_Ext]
[Del_File_tmp_Ext_&_Ext_&&_Ext]
[Del_File_Rog_comapp_&&_Ext]
[Del_File_drop_FF]
[Del_File_Rog_Date]
[Del_File_tmp_IE_Ext]
[Del_File_Rog_ZA_List]
[Del_File_Java_cache]
[Del_File_ZA_List_Rog_&_File]
[Corr_SFB]
[Heur_ZA_&_Rog_&&_date_&&&_place]
[Del_Reg_IFEO]
[Del_Reg_M2]
[Perm_Reg]

g3n-h@ckm@n · Answer

nom de Dieu quelle poubelle numerique tu installes vraiment n importe quoi et telecharges vraiment n'importe où ! (chez les editeurs uniquement pas sur les sites de download)....tu m'étonnes que tu es infecté ! 

* desinstalle Babylon 
* desinstalle tout ce qui a un rapport avec Softonic et ne telecharge plus chez eux ils trafiquent les installeurs de programmes avec leur barre d'outil pourrie, comme 01 d'ailleurs 
* desinstalle Zynga 
* desinstalle µtorrent_Bar_FR 
*  desinstalle Nosibay 
* desinstalle Windows searchqu Toolbar 
* desinstalle The Cleaner 2012 ca vaut rien 
* desinstalle spybot ca vaut rien 
* supprime tous les installeurs qui se trouvent dans ton dossier telechargements 
* desinstalle Ilivid 
* desinstalle Conduit/ConduitEngine 
* desinstalle DAEMON Tools Toolbar 
* desinstalle Igraal Toolbar 
* desinstalle PackBarre 
*desinstalle SearchWeb 

=========================== 

@: à L'attention des helpers qui utilisent les switchs de Pre_script : 
n'utiliser que les switchs proposés sur la page correspondante : 
https://gen-hackman.kanak.fr/ 

================================ 

Clique sur ce lien : http://cjoint.com/12jn/BFApNWHiTAO.htm 

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier 

Relance Pre_scan puis choisis l'option "Script" 

une page va s'ouvrir 

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler. 

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge. 

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille  

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

=============================== 

à titre info voici la pourrriture dans ton pc : 

[HKU\S-1-5-21-1887916532-2248556174-1332552923-1008\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}] | (Search Results) -> http://www1.search-results.com/web?l=dis&q=&o=APN10645&apn_dtid=%5EBND406%5EYY%5EFR&shad=s_0043&gct=ds&apn_ptnrs=%5EAG6&d=406-287&lang=en&atb=sysid%3D406%3Aappid%3D287%3Auid%3D86527ad51cf2e616%3Asrc%3Dieb%3Ao%3DAPN10645%3Atg%3D&p2=%5EAG6%5EBND406%5EYY%5EFR{searchTerms}    => Infection PUP (Adware.Bandoo) 
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}] | (Search Results) -> http://www1.search-results.com/web?l=dis&q=&o=APN10645&apn_dtid=%5EBND406%5EYY%5EFR&shad=s_0043&gct=ds&apn_ptnrs=%5EAG6&d=406-287&lang=en&atb=sysid%3D406%3Aappid%3D287%3Auid%3D86527ad51cf2e616%3Asrc%3Dieb%3Ao%3DAPN10645%3Atg%3D&p2=%5EAG6%5EBND406%5EYY%5EFR{searchTerms}    => Infection PUP (Adware.Bandoo) 
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}] | (TbHelper2.exe) -> C:\Program Files (x86)\searchweb    => Infection BT (Adware.SocialSkinz) 
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079a25-328f-4bd4-be04-00955acaa0a7}] | (uninstall.exe) -> C:\PROGRA~2\SEARCH~2\Datamngr\ToolBar    => Infection PUP (Adware.Bandoo) 
Mise en quarantaine :  C:\Program Files (x86)\searchweb\inst.tmp    => Infection BT (Adware.SocialSkinz) 
"Bubble Dock"="C:\Users\ASUS\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe" /winstartup    => Infection PUP (Adware.SPointer) 
"{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1}"=00    => Infection BT (Adware.SocialSkinz) 
"{99079a25-328f-4bd4-be04-00955acaa0a7}"=Searchqu Toolbar    => Infection PUP (Adware.Bandoo) 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079a25-328f-4bd4-be04-00955acaa0a7}] : (Searchqu Toolbar) -> C:\PROGRA~2\SEARCH~2\Datamngr\ToolBar\searchqudtx.dll  [27/02/2012 10:42:48]    => Infection PUP (Adware.Bandoo) 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4f12-8568-69135F087DB0}] : (DataMngr) -> C:\PROGRA~2\SEARCH~2\Datamngr\BROWSE~1.DLL  [30/05/2012 20:56:07]    => Infection PUP (Adware.Bando) 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0924543-15FD-4F3D-889C-0B4562A9CB45}] : (TBSB02609 Class) -> C:\Program Files (x86)\searchweb	bcore3.dll  [23/08/2011 16:33:28]    => Infection BT (Adware.SocialSkinz) 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E87806B5-E908-45FD-AF5E-957D83E58E68}] : (Softonic Helper Object) -> C:\Program Files (x86)\Softonic\Softonic\1.5.24.3\bh\Softonic.dll  [29/05/2012 09:05:48]    => Infection BT (Adware.Softonic) 
[HKU\S-1-5-21-1887916532-2248556174-1332552923-1008\Software\DataMngr]    => Infection PUP (PUP.BearShare) 
[HKU\S-1-5-21-1887916532-2248556174-1332552923-1008\Software\ilivid]    => Infection BT (Adware.Bandoo) 
[HKU\S-1-5-21-1887916532-2248556174-1332552923-1008\Software\Nosibay]    => Infection PUP (Adware.SPointer) 
[HKLM\Software\Boxore]    => Infection Diverse (Spyware.Boxore) 
[HKLM\Software\DataMngr]    => Infection PUP (PUP.BearShare) 
[HKLM\Software\ilivid]    => Infection BT (Adware.Bandoo) 
[HKLM\Software\Iminent]    => Infection PUP (Adware.IMBooster) 
[HKLM\Software\SearchquMediabarTb]    => Infection PUP (Adware.Bandoo) 
[17/04/2012 20:06:03] - |A| - C:\Windows\AutoKMS.ini    => Infection Diverse (Trojan.Keygen) 
[25/05/2012 15:04:38] - |D| - C:\Users\ASUS\AppData\Roaming\Nosibay    => Infection PUP (Adware.SPointer) 
[30/05/2012 20:56:29] - |D| - C:\Users\ASUS\AppData\Local\Ilivid Player    => Infection BT (Adware.Bandoo) 
[30/05/2012 20:56:17] - |D| - C:\Program Files (x86)\iLivid    => Infection BT (Adware.Bandoo) 
[30/05/2012 20:55:56] - |D| - C:\Program Files (x86)\Searchqu Toolbar    => Infection PUP (Adware.Bandoo) 
[29/11/2011 01:26:59] - |D| - C:\Program Files (x86)\searchweb    => Infection BT (Adware.SocialSkinz) 
"iLivid"=iLivid (Bandoo Media Inc) -> C:\Program Files (x86)\iLivid\uninstall.exe    => Infection BT (Adware.Bandoo) 
"Searchqu Toolbar"=Searchqu Toolbar (Bandoo Media Inc) -> C:\Program Files (x86)\Searchqu Toolbar\uninstall.exe    => Infection PUP (Adware.Bandoo) 
"searchweb"=searchweb (searchweb) -> C:\Program Files (x86)\searchweb\uninstaller.exe    => Infection BT (Adware.SocialSkinz) 

======================= 

Télécharge et enregistre ADWcleaner sur ton bureau : 

ADWCleaner (Merci à Xplode) 

Lance le, 

(Pour vista et seven => clic droit "executer en tant qu'administrateur") 

clique sur suppression et poste son rapport. 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

joakim · Answer

Merci , 

J'ai acheté mon pc d'occasion , donc je pense que la personne devait téléchargés beaucoup de choses !

Voici le pre-script

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.624 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

ASUS : Windows 7 Home Premium (64 bits)

Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

Script : 16:13:02

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuée

¤

¤¤¤¤¤¤¤¤¤¤ | Suppression registre

Clé absente : [HKU\S-1-5-21-1887916532-2248556174-1332552923-1008\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
Clé absente : [HKU\S-1-5-21-1887916532-2248556174-1332552923-1008\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}]
Clé absente : [HKU\S-1-5-21-1887916532-2248556174-1332552923-1008\Software\Microsoft\Internet Explorer\SearchScopes\{A4A32129-FAB2-47EA-8BAE-0A4D659612B3}]
Clé absente : [HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}   ]
Clé absente : [HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}  ]
Clé absente : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{285F76E1-F55F-4008-B19F-1570DBA48E7A}]
Clé absente : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}]
Clé absente : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7555B87D-D711-48B2-B97D-04DF700652BA}]
Clé absente : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8F7DA75A-E360-4E17-8B1E-47A959995C0A}]
Clé absente : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079a25-328f-4bd4-be04-00955acaa0a7} ]
Clé absente : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9CF034EA-7B46-48D3-8895-8A14B32AE445}]
Clé absente : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{AA7C5CB3-4E57-4993-B82B-56C9F936D562}]
Clé absente : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{BB25EBB5-0B4F-42C9-99D1-9181D52D9136}]
Clé absente : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E0E32413-5F9E-4F2B-8035-530E3665C97B}]
Valeur absente : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[Tutorials]
Valeur absente : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[QuickTime Task   ]
Valeur absente : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[DATAMNGR]
Valeur absente : [HKU\S-1-5-21-1887916532-2248556174-1332552923-1008\Software\Microsoft\Windows\CurrentVersion\Run]:[Bubble Dock ]
Valeur absente : [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:[{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1}]
Valeur absente : [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:[{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]
Valeur absente : [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:[{7b13ec3e-999a-4b70-b9cb-2617b8323822}]
Valeur absente : [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:[{32099AAC-C132-4136-9E9A-4E364A424E17}]
Valeur supprimée : [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:[{99079a25-328f-4bd4-be04-00955acaa0a7}]
Valeur supprimée : [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:[10]
Valeur absente : [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:[{5018CFD2-804D-4C99-9F81-25EAEA2769DE}]
Valeur supprimée : [HKU\S-1-5-21-1887916532-2248556174-1332552923-1008\Software\Microsoft\Internet Explorer\Toolbar]:[Locked]
Clé absente : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]
Clé absente : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7b13ec3e-999a-4b70-b9cb-2617b8323822}]
Clé supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079a25-328f-4bd4-be04-00955acaa0a7}]
Clé absente : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9D717F81-9148-4f12-8568-69135F087DB0}]
Clé absente : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0924543-15FD-4F3D-889C-0B4562A9CB45}]
Clé absente : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E87806B5-E908-45FD-AF5E-957D83E58E68}    ]
Clé absente : [HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}  ]
Clé supprimée : [HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA}]
Clé absente : [HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}  ]
Clé absente : [HKU\S-1-5-21-1887916532-2248556174-1332552923-1008\Software\DataMngr     ]
Clé absente : [HKU\S-1-5-21-1887916532-2248556174-1332552923-1008\Software\DataMngr_Toolbar ]
Clé absente : [HKU\S-1-5-21-1887916532-2248556174-1332552923-1008\Software\ilivid     ]
Clé absente : [HKU\S-1-5-21-1887916532-2248556174-1332552923-1008\Software\Nosibay     ]
Clé absente : [HKU\S-1-5-21-1887916532-2248556174-1332552923-1008\Software\Safer Networking Limited ]
Clé absente : [HKU\S-1-5-21-1887916532-2248556174-1332552923-1008\Software\Tutorials     ]
Clé absente : [HKLM\Software\Boxore     ]
Clé absente : [HKLM\Software\DataMngr     ]
Clé absente : [HKLM\Software\ilivid     ]
Clé absente : [HKLM\Software\SearchquMediabarTb     ]
Clé absente : [HKLM\Software\Shmoopy ]
Clé absente : [HKLM\Software\uTorrentBar_FR     ]
Clé absente : [HKLM\Software\Zynga     ]

¤

Supprimé : C:\Windows\AutoKMS.ini
Supprimé : C:\Program Files (x86)\Common Files\Net4Switch.ico

¤

¤¤¤¤¤¤¤¤¤¤ | MBR


¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


explorer.exe -> Processus redémarré

Fin : 16:15:13

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

joakim · Answer

Voici le rapport de ADWCLEANER 

http://pjjoint.malekal.com/files.php?id=20120626_g12i13q10e8s12

car je ne peut pas le posté directement car il est écrit qu'il n'accepte pas les écritures sms ou autres ....

g3n-h@ckm@n · Answer

ok j'ai compris le beug de suppressions des clés dans le script....

=====

bref adwcleaner a fait le travail en gros :)

=====


fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

joakim · Answer

Voici le rapport de Malwarebytes

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.04.04.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
ASUS :: PAULINE [administrateur]

26/06/2012 17:02:48
mbam-log-2012-06-26 (17-02-48).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 481085
Temps écoulé: 1 heure(s), 43 minute(s), 38 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Poker\Turbopoker.fr\_SetupPoker.exe_d18eb1.exe (PUP.Casino) -> Mis en quarantaine et supprimé avec succès.

(fin)

Joakim · Answer

Pensez vous que mon Pc est entièrement nettoyé ?
Quel logiciel me conseillez vous pour la protection de mon ordinateur ? (anti virus , pare feu .... ) 

Merci

g3n-h@ckm@n · Answer

tu n'as plus de soucis ? on peut finaliser ?

Joakim · Answer

J'ai l'impression que c'est bon, on peut finaliser.

- y a t'il un moyen de voir si il y a un keyloger ?

- qu'elle anti virus, anti trojan et anti malware maintenant pour être protéger efficacement ?

g3n-h@ckm@n · Answer

keylogger ? malwarebytes l'aurait decouvert , et de toutes facons il aurait pas survecu

le menage :

https://gen-hackman.kanak.fr/

joakim · Answer

Voici le 1er  rapport :

WhyIGotInfected v1.5.4(by Tigzy)
********************************

Run : 27/06/2012 08:26:36 [Normal Mode]
Machine : PAULINE (2 CPUs) [ASUS : ADMIN]
OS: Microsoft Windows 7 Édition Familiale Premium  Service Pack 1 (x64)

~~ Plugins check: ~~

UPTODATE [Microsoft Windows 7 Édition Familiale Premium ] Current : Service Pack 1 -- Latest : Service Pack 1
UPTODATE [Firefox (x86)] Current : 13.0.1 -- Latest : 13.0.1
UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
UPTODATE [Internet Explorer (x86)] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
OUTDATED [Java (x86)] Current : 1.6.0_33 -- Latest : 1.7.0_05
UPTODATE [Adobe Reader (x86)] Current : 10 -- Latest : 10
OUTDATED [Adobe Flash] Current : 11.2.202.235 -- Latest : 11.3.300.257
OUTDATED [Adobe Flash (x86)] Current : 11.2.202.235 -- Latest : 11.3.300.257
OUTDATED [Adobe Flash ActiveX] Current : 11.2.202.235 -- Latest : 11.3.300.257
OUTDATED [Adobe Flash ActiveX (x86)] Current : 11.2.202.235 -- Latest : 11.3.300.257


Finished
<C:\Users\ASUS\Desktop\WIGIReport[0].txt>
WIGIReport[0].txt

joakim · Answer

voici le 2eme :

WhyIGotInfected v1.5.4(by Tigzy)
********************************

Run : 27/06/2012 08:50:49 [Normal Mode]
Machine : PAULINE (2 CPUs) [ASUS : ADMIN]
OS: Microsoft Windows 7 Édition Familiale Premium  Service Pack 1 (x64)

~~ Plugins check: ~~

UPTODATE [Microsoft Windows 7 Édition Familiale Premium ] Current : Service Pack 1 -- Latest : Service Pack 1
UPTODATE [Firefox (x86)] Current : 13.0.1 -- Latest : 13.0.1
UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
UPTODATE [Internet Explorer (x86)] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
UPTODATE [Java (x86)] Current : 1.7.0_05 -- Latest : 1.7.0_05
UPTODATE [Adobe Reader (x86)] Current : 10 -- Latest : 10
UPTODATE [Adobe Flash] Current : 11.3.300.257 -- Latest : 11.3.300.257
UPTODATE [Adobe Flash (x86)] Current : 11.3.300.257 -- Latest : 11.3.300.257
UPTODATE [Adobe Flash ActiveX] Current : 11.3.300.257 -- Latest : 11.3.300.257
UPTODATE [Adobe Flash ActiveX (x86)] Current : 11.3.300.257 -- Latest : 11.3.300.257
OUTDATED [Adobe Flash FF Plugin] Current : 11.3.300.262 -- Latest : 11.3.300.257
OUTDATED [Adobe Flash FF Plugin (x86)] Current : 11.3.300.262 -- Latest : 11.3.300.257


Finished
<C:\Users\ASUS\Desktop\WIGIReport[1].txt>
WIGIReport[0].txt ; WIGIReport[1].txt

joakim · Answer

La derniere ligne de purera :

Total space cleaned: 215.69 MB

joakim · Answer

Voici le rapport de delfix :

# DelFix v8.8 - Rapport créé le 27/06/2012 à 09:01:29
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : ASUS - PAULINE (Administrateur)
# Exécuté depuis : C:\Users\ASUS\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\FyK
Supprimé : C:\pre_scan
Supprimé : C:\32788R22FWJFW

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\ASUS\Desktop\joakim.exe <-- Combofix
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\FyK.txt
Supprimé : C:\Users\ASUS\Desktop\adwcleaner.exe
Supprimé : C:\Users\ASUS\Desktop\AdwCleaner[S1].txt
Supprimé : C:\Users\ASUS\Desktop\Pre_Scan.pif
Supprimé : C:\Users\ASUS\Desktop\Pre_Scan_26_06_2012_13_30_43.txt
Supprimé : C:\Users\ASUS\Desktop\Pre_script.txt
Non Supprimé : C:\Users\ASUS\Desktop\WhyIGotInfected.exe
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\console_combofixbackup
Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1893 octets] - [27/06/2012 09:01:29]

########## EOF - C:\DelFix[S1].txt - [2017 octets] ##########

g3n-h@ckm@n · Answer

royal :)

Joakim · Answer

Super :))

Je suis en train de faire le reste du nettoyage ....

Je te tient au courant 

Merci

joakim · Answer

Voila , le nettoyage est complet !

Je te remercie pour tout le temps consacré  a m'avoir aidé 

En espérant ne plus avoir de problèmes ...

Bonne continuation

Un troyens me ferme mes analyses anti.virus

28 réponses

Discussions similaires