Infection ou pas ???
Résolu
Ordi sos
Messages postés
255
Date d'inscription
Statut
Membre
Dernière intervention
-
Ordi sos Messages postés 255 Date d'inscription Statut Membre Dernière intervention -
Ordi sos Messages postés 255 Date d'inscription Statut Membre Dernière intervention -
Bonjour, suite à une infection, je souhaiterais connaitre l'avis d'un connaisseur pour diagnostiquer le rapport de ZHPDiag :
https://www.cjoint.com/?3ItqxQ07KrQ
https://www.cjoint.com/?3ItqxQ07KrQ
A voir également:
- Infection ou pas ???
- Infection virus ✓ - Forum Virus
- Infection Bloom ? ✓ - Forum Virus
- Techscam...infection ✓ - Forum Virus
- Infection ad.doubleclick.net ✓ - Forum Virus
- Infection FileRepMetagen - Forum Virus
39 réponses
Bonjour,
Désinstalle spybot search & destroy rien du tout
Désinstalle également ceci :
SweetIM Toolbar for Internet Explorer 4.3
ToolbarFR
============================
Suis ces instructions : https://forums-fec.be/entraide/viewtopic.php?f=11&t=232
J'attends donc 4 rapports.
A+
Désinstalle spybot search & destroy rien du tout
Désinstalle également ceci :
SweetIM Toolbar for Internet Explorer 4.3
ToolbarFR
============================
Suis ces instructions : https://forums-fec.be/entraide/viewtopic.php?f=11&t=232
J'attends donc 4 rapports.
A+
Les quels rapports que tu attends ? Je m'y connais mais pas expert !!!
J'ai été infecté la semaine dernière par live security platinum.
J'ai été infecté la semaine dernière par live security platinum.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ben si tu suis les instructions que je demande, il y en a 3, mais un des 3 programmes sortira 2 rapports, ce qui fait au total 4 rapports à me transmettre :)
Bon, j'ai passé adwcleaner et voici les rapports :
Dis moi les autres rapport que tu veux :)
# AdwCleaner v2.002 - Rapport créé le 20/09/2012 à 08:16:03
# Mis à jour le 16/09/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : HP_Propriétaire - CATHERINE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\HP_Propriétaire\Bureau\adwcleaner.exe
# Option [Recherche]
***** [Services] *****
***** [Fichiers / Dossiers] *****
***** [Registre] *****
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C0924543-15FD-4F3D-889C-0B4562A9CB45}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{A81A974F-8A22-43E6-9243-5198FF758DA1}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0924543-15FD-4F3D-889C-0B4562A9CB45}
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Le registre ne contient aucune entrée illégitime.
*************************
AdwCleaner[R1].txt - [989 octets] - [20/09/2012 08:16:03]
########## EOF - C:\AdwCleaner[R1].txt - [1048 octets] ##########
et le 2ème
# AdwCleaner v2.002 - Rapport créé le 20/09/2012 à 08:16:43
# Mis à jour le 16/09/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : HP_Propriétaire - CATHERINE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\HP_Propriétaire\Bureau\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
***** [Registre] *****
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C0924543-15FD-4F3D-889C-0B4562A9CB45}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{A81A974F-8A22-43E6-9243-5198FF758DA1}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0924543-15FD-4F3D-889C-0B4562A9CB45}
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
Restauré : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
*************************
AdwCleaner[R1].txt - [1117 octets] - [20/09/2012 08:16:03]
AdwCleaner[S1].txt - [1082 octets] - [20/09/2012 08:16:43]
########## EOF - C:\AdwCleaner[S1].txt - [1142 octets] ##########
Dis moi les autres rapport que tu veux :)
# AdwCleaner v2.002 - Rapport créé le 20/09/2012 à 08:16:03
# Mis à jour le 16/09/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : HP_Propriétaire - CATHERINE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\HP_Propriétaire\Bureau\adwcleaner.exe
# Option [Recherche]
***** [Services] *****
***** [Fichiers / Dossiers] *****
***** [Registre] *****
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C0924543-15FD-4F3D-889C-0B4562A9CB45}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{A81A974F-8A22-43E6-9243-5198FF758DA1}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0924543-15FD-4F3D-889C-0B4562A9CB45}
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Le registre ne contient aucune entrée illégitime.
*************************
AdwCleaner[R1].txt - [989 octets] - [20/09/2012 08:16:03]
########## EOF - C:\AdwCleaner[R1].txt - [1048 octets] ##########
et le 2ème
# AdwCleaner v2.002 - Rapport créé le 20/09/2012 à 08:16:43
# Mis à jour le 16/09/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : HP_Propriétaire - CATHERINE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\HP_Propriétaire\Bureau\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
***** [Registre] *****
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C0924543-15FD-4F3D-889C-0B4562A9CB45}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{A81A974F-8A22-43E6-9243-5198FF758DA1}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0924543-15FD-4F3D-889C-0B4562A9CB45}
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
Restauré : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
*************************
AdwCleaner[R1].txt - [1117 octets] - [20/09/2012 08:16:03]
AdwCleaner[S1].txt - [1082 octets] - [20/09/2012 08:16:43]
########## EOF - C:\AdwCleaner[S1].txt - [1142 octets] ##########
le rapport MBAM et les rapports OTL demandés ici : https://forums-fec.be/entraide/viewtopic.php?f=11&t=228
Ha ok, bon je commence par MBAB mais ça va prendre pas loin de 2H et après OTL et je t'envoie tout ça :)
Je te poste le rapport de Malwarebytes mais avant, je voudrais te dire qu'a la fin de la supression, l'ordi ne s'est pas rallumé correctement, il est resté bloqué sur "Windows XP et la barre bleu dessous qui défilait toujours, alors, je l'ai éteint avec le bouton power et il s'est rallumé alors normalement. Est ce un soucis pour la supression ?
Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org
Version de la base de données: v2012.09.20.04
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
HP_Propriétaire :: CATHERINE [administrateur]
20/09/2012 09:32:19
mbam-log-2012-09-20 (09-32-19).txt
Type d'examen: Examen complet (C:\|D:\|G:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 336564
Temps écoulé: 1 heure(s), 39 minute(s), 28 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
C:\Documents and Settings\HP_Propriétaire\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.
(fin)
Maintenant je procède avec OTL.
Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org
Version de la base de données: v2012.09.20.04
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
HP_Propriétaire :: CATHERINE [administrateur]
20/09/2012 09:32:19
mbam-log-2012-09-20 (09-32-19).txt
Type d'examen: Examen complet (C:\|D:\|G:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 336564
Temps écoulé: 1 heure(s), 39 minute(s), 28 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
C:\Documents and Settings\HP_Propriétaire\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.
(fin)
Maintenant je procède avec OTL.
les rapports OTL :
https://pjjoint.malekal.com/files.php?id=20120920_i7l11r14o15t13
et l'autre :
https://pjjoint.malekal.com/files.php?id=20120920_j9h12p8o9y14
je crois que j'ai envoyer 2 fois le même
https://pjjoint.malekal.com/files.php?id=20120920_p13y14f6o14h15
https://pjjoint.malekal.com/files.php?id=20120920_i7l11r14o15t13
et l'autre :
https://pjjoint.malekal.com/files.php?id=20120920_j9h12p8o9y14
je crois que j'ai envoyer 2 fois le même
https://pjjoint.malekal.com/files.php?id=20120920_p13y14f6o14h15
Le rapport Delfix :
# DelFix v8.9 - Rapport créé le 20/09/2012 à 15:20:41
# Mis à jour le 27/07/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : HP_Propriétaire - CATHERINE (Administrateur)
# Exécuté depuis : C:\Documents and Settings\HP_Propriétaire\Bureau\delfix.exe
# Option [Suppression]
~~~~~~ Dossiers(s) ~~~~~~
Supprimé : C:\USBFix
Supprimé : C:\pre_scan
Supprimé : C:\ZHP
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\adwcleaner.exe
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\Extras.Txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\OTL.Txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\OTL.exe
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\Pre_Scan_19_09_2012_13_17_44.txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\Pre_Scan_19_09_2012_14_17_08.txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\RKreport[1].txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\RKreport[2].txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\RKreport[3].txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\RKreport[4].txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\RogueKiller.exe
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\UsbFix.exe
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\ZHPDiag2.exe
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKCU\Software\USBFix
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
~~~~~~ Autres ~~~~~~
-> Prefetch Vidé
*************************
DelFix[R1].txt - [2750 octets] - [20/09/2012 15:20:11]
DelFix[S1].txt - [2716 octets] - [20/09/2012 15:20:41]
########## EOF - C:\DelFix[S1].txt - [2840 octets] ##########
# DelFix v8.9 - Rapport créé le 20/09/2012 à 15:20:41
# Mis à jour le 27/07/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : HP_Propriétaire - CATHERINE (Administrateur)
# Exécuté depuis : C:\Documents and Settings\HP_Propriétaire\Bureau\delfix.exe
# Option [Suppression]
~~~~~~ Dossiers(s) ~~~~~~
Supprimé : C:\USBFix
Supprimé : C:\pre_scan
Supprimé : C:\ZHP
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\adwcleaner.exe
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\Extras.Txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\OTL.Txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\OTL.exe
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\Pre_Scan_19_09_2012_13_17_44.txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\Pre_Scan_19_09_2012_14_17_08.txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\RKreport[1].txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\RKreport[2].txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\RKreport[3].txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\RKreport[4].txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\RogueKiller.exe
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\UsbFix.exe
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\HP_Propriétaire\Bureau\ZHPDiag2.exe
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKCU\Software\USBFix
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
~~~~~~ Autres ~~~~~~
-> Prefetch Vidé
*************************
DelFix[R1].txt - [2750 octets] - [20/09/2012 15:20:11]
DelFix[S1].txt - [2716 octets] - [20/09/2012 15:20:41]
########## EOF - C:\DelFix[S1].txt - [2840 octets] ##########
Lorsque j'ouvre Poste de travail -> C-> Avira bip et réagit au fichier autorun.inf. Avira bloque le fichier. Qu"est que ça veut dire ?
Et autre chose, sur le bureau, il y a une icone Favoris réseau qui n'y était pas avant qui dit en pointant la souris dessus : Affiche les raccourcis vers les sites webs, les ordinateurs du réseau et les sites FTP. Puis-je la suprimer ?
Et aussi une nouvelle icone Poste de travail, est ce que je peux également la suprimer ?
Et une dernière fois, une icone Internet Explorer et en pontant la souris dessus ça dit : C:\Program Files\Internet Explorer, je peux la suprimer aussi celle là ?
et à l'instant on me demande une mise à jour de windows live messenger plus, est ce que je dois la faire ?
Et autre chose, sur le bureau, il y a une icone Favoris réseau qui n'y était pas avant qui dit en pointant la souris dessus : Affiche les raccourcis vers les sites webs, les ordinateurs du réseau et les sites FTP. Puis-je la suprimer ?
Et aussi une nouvelle icone Poste de travail, est ce que je peux également la suprimer ?
Et une dernière fois, une icone Internet Explorer et en pontant la souris dessus ça dit : C:\Program Files\Internet Explorer, je peux la suprimer aussi celle là ?
et à l'instant on me demande une mise à jour de windows live messenger plus, est ce que je dois la faire ?
Et autre chose, sur le bureau, il y a une icone Favoris réseau qui n'y était pas avant qui dit en pointant la souris dessus : Affiche les raccourcis vers les sites webs, les ordinateurs du réseau et les sites FTP. Puis-je la suprimer ?
Oui
Et aussi une nouvelle icone Poste de travail, est ce que je peux également la suprimer ?
Oui
Et une dernière fois, une icone Internet Explorer et en pontant la souris dessus ça dit : C:\Program Files\Internet Explorer, je peux la suprimer aussi celle là ?
Oui
et à l'instant on me demande une mise à jour de windows live messenger plus, est ce que je dois la faire ?
Oui
Lorsque j'ouvre Poste de travail -> C-> Avira bip et réagit au fichier autorun.inf. Avira bloque le fichier. Qu"est que ça veut dire ?
pour éviter les alertes @ autorun.inf , il suffit de désactiver le bloquage par Antivir:
Configuration > cocher mode expert > Guard > recherche > actions si resultat positif et décocher la case bloquer la fonction d'autodémarrage.
Oui
Et aussi une nouvelle icone Poste de travail, est ce que je peux également la suprimer ?
Oui
Et une dernière fois, une icone Internet Explorer et en pontant la souris dessus ça dit : C:\Program Files\Internet Explorer, je peux la suprimer aussi celle là ?
Oui
et à l'instant on me demande une mise à jour de windows live messenger plus, est ce que je dois la faire ?
Oui
Lorsque j'ouvre Poste de travail -> C-> Avira bip et réagit au fichier autorun.inf. Avira bloque le fichier. Qu"est que ça veut dire ?
pour éviter les alertes @ autorun.inf , il suffit de désactiver le bloquage par Antivir:
Configuration > cocher mode expert > Guard > recherche > actions si resultat positif et décocher la case bloquer la fonction d'autodémarrage.
Merci beaucoup pour tous ces conseils, je continue le nettoyage après désinfection.
Une chose, je crois que je vais suprimer Avira actuel et télécharger un nouveau parce que à chaque démarrage, il y a une fenêtre qui apparaît en disant : avgnt a rencontré un problème et doit fermer. Et là, l'icone à côté de l'orloge disparaît. Et l'antivirus est toujours activé. Que faire ?
Une chose, je crois que je vais suprimer Avira actuel et télécharger un nouveau parce que à chaque démarrage, il y a une fenêtre qui apparaît en disant : avgnt a rencontré un problème et doit fermer. Et là, l'icone à côté de l'orloge disparaît. Et l'antivirus est toujours activé. Que faire ?