Trojan ransom.gen

Résolu/Fermé

moi ninou Messages postés 14 Date d'inscription vendredi 19 octobre 2012 Statut Membre Dernière intervention 31 octobre 2012 - Modifié par moi ninou le 19/10/2012 à 08:53
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 19 oct. 2012 à 19:45

Bonjour, je viens d'être contaminé par le virus trojan.ransom.gen

j'avais déja vu sur le net la méthode pour redémarer en mode sans échec chose que j'ai fait.
J'ai donc analysé avec malwaresbytes antimalware qui ma trouver ceci

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Version de la base de données: v2012.10.01.08

Windows Vista Service Pack 2 x86 NTFS (Mode sans échec)
Internet Explorer 8.0.6001.19328
Philippe :: PC-DE-NINOU [administrateur]

19/10/2012 2:30:43
mbam-log-2012-10-19 (02-30-43).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 204560
Temps écoulé: 4 minute(s), 35 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
C:\Users\ninou\AppData\Local\Temp\firefox.dll (Trojan.Phex.Tgen) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\lsass.exe (Trojan.Delf) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ninou\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Mis en quarantaine et supprimé avec succès.

(fin)

mon ordi a bien redémarer normalement j'ai fait une second analyse et il n'a plus rien trouver, ni avast,ni windows defender et rien de spécial avec hijackthis

voici le rapport de hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 6:57:09, on 19/10/2012
Platform: Unknown Windows (WinNT 6.00.1906 SP2)
MSIE: Internet Explorer v8.00 (8.00.6001.19328)

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\hp\support\hpsysdrv.exe
C:\WINDOWS\RtHDVCpl.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Belgacom\bin\sprtcmd.exe
C:\Program Files\Sony\Content Transfer\ContentTransferWMDetector.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Hercules\Audio\DJ Console Series\HDJSeriesCPL.exe
C:\Program Files\Western Digital\WD Quick View\WDDMStatus.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Samsung\Digimax Viewer 2.1\STImgBrowser.exe
C:\Program Files\Micro Application\LauncherMA.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Common Files\Corel\Standby\Standby.exe
J:\(6) Divers\Programmes et vizualisation\Programmes divers\Anti espion\HijackThis-fr-Colok.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/nl-be?cobrand=compaq.msn.com&ocid=HPDHP&pc=CPDTDF&checklang=1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/nl-be?cobrand=compaq.msn.com&ocid=HPDHP&pc=CPDTDF&checklang=1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/nl-be?cobrand=compaq.msn.com&ocid=HPDHP&pc=CPDTDF&checklang=1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: AOL Toolbar BHO - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 -BarreOut. AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O3 -BarreOut. avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [StartCCC] "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
O4 - HKLM\..\Run: [NBAgent] "C:\Program Files\Nero\Nero BackItUp & Burn\Nero BackItUp\NBAgent.exe" /WinStart
O4 - HKLM\..\Run: [Standby] "C:\Program Files\Common Files\Corel\Standby\Standby.exe" -START
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ContentTransferWMDetector.exe] C:\Program Files\Sony\Content Transfer\ContentTransferWMDetector.exe
O4 - HKLM\..\Run: [avast] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Hercules DJ Series] C:\Program Files\Hercules\Audio\DJ Console Series\HDJSeriesCPL.exe /boot
O4 - HKLM\..\Run: [WD Quick View] C:\Program Files\Western Digital\WD Quick View\WDDMStatus.exe
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Startup: Lanceur.lnk = C:\Program Files\Micro Application\LauncherMA.exe
O4 - Global Startup: Digimax Viewer 2.1.lnk = ?
O8 - Extra du menu contextuel &Recherche AOL Toolbar - C:\ProgramData\AOL\ieToolbar\resources\fr-BE\local\search.html
O8 - Extra du menu contextuel E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Bouton Extra: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - c:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Nalpeiron Licensing Service (ASTSRV) - Nalpeiron Ltd. - C:\Windows\system32\ASTSRV.EXE
O23 - Service: Atarmgtore - QLogic Corporation - C:\Windows\system32\drivers\ql40xx.sys
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Hercules DJ Control MP3 (HerculesDJControlMP3) - Unknown owner - C:\Program Files\Hercules\Audio\DJ Console Series\drivers\x86\HerculesDJControlMP3.EXE
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: SupportSoft Sprocket Service (belgacom) (sprtsvc_belgacom) - SupportSoft, Inc. - C:\Program Files\Belgacom\bin\sprtsvc.exe
O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Program Files\Common Files\Supportsoft\bin\ssrc.exe
O23 - Service: WD Backup (WDBackup) - Western Digital - C:\Program Files\Western Digital\WD SmartWare\WDBackupEngine.exe
O23 - Service: WD Drive Manager (WDDriveService) - Western Digital - C:\Program Files\Western Digital\WD Drive Manager\WDDriveService.exe
O23 - Service: WD Rules (WDRulesService) - Western Digital - C:\Program Files\Western Digital\WD SmartWare\WDRulesEngine.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

voilà je vous demand S.V.P si il y a encore des choses a faire et a corriger et si mon ordinateur est sain

merci d'avance de votre réponse
et bien à vous

Un grand merci a ceux qui nous viennent en aide.

A voir également:

Trojan ransom.gen
Trojan remover - Télécharger - Antivirus & Antimalwares
Trojan al11 - Forum Virus
Csrss.exe trojan - Forum Virus
Trojan agent ✓ - Forum Virus
Csrss.exe : processus suspect/virus ? - Forum Virus

18 réponses

Réponse 1 / 18

billmaxime Messages postés 50393 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 18 novembre 2024 6 005
19 oct. 2012 à 09:00

salut

les helpeurs préfèrent un rapport zhpdiag (hijackthis n'est plus jour)

le lien https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

le tuto http://www.premiumorange.com/zeb-help-process/zhpdiag.html

tu dois le télécharger sur ton bureau

utlisateurs vista-seven exécuter en tant qu'administrateur

tu devras cliquer sur le bouton UAC (1er bouton a droite)

pour lancer le scan tu cliques sur la loupe (1er bouton a gauche)

le rapport s'affichera sur ton bureau>>poste le sur le forum via ce lien

http://pjjoint.malekal.com/

@+

Réponse 2 / 18

moi ninou Messages postés 14 Date d'inscription vendredi 19 octobre 2012 Statut Membre Dernière intervention 31 octobre 2012 2
19 oct. 2012 à 10:03

Je vous remercie de l'intention que vous porté a mon sujet
voici le lien demander

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121019_s6c7e8v12w6

dans l'espoir d'avoir de bonne nouvel
je vous remercie

Réponse 3 / 18

billmaxime Messages postés 50393 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 18 novembre 2024 6 005
Modifié par billmaxime le 19/10/2012 à 10:34

re

je vois avast 5 et avast 7 sur ton pc?

O4 - HKLM\..\Run: [avast] . (.AVAST Software - avast! Antivirus.) -- C:\Program Files\Alwil Software\Avast5\avastUI.exe

O42 - Logiciel: avast! Free Antivirus v7.0.1466.0 - (.AVAST Software.) [HKLM] -- avast

adode acrobat et adobe reader ne sont pas a jour

la page adobe pour mettre a jour https://www.google.fr/search?q=adobe&aq=0&oq=adobe&sugexp=chrome,mod=0&sourceid=chrome&ie=UTF-8&gws_rd=ssl

java n'est pas a jour , désinstalle tout java avec java ra

le lien https://singularlabs.com/

le lien pour télécharger la dernière version https://www.java.com/fr/

tout ça n'est pas bon

Trojan Driver Search Data (HKLM) (O52)

O52 - TDSD: \Drivers32\"msacm.l3acm"="C:\Windows\System32\l3codeca.acm" . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Layer-3 Audio Codec for MSACM.) -- C:\Windows\System32\l3codeca.acm
O52 - TDSD: \Drivers32\"vidc.cvid"="iccvid.dll" . (.Radius Inc. - Codec Cinepak®.) -- C:\WINDOWS\System32\iccvid.dll
O52 - TDSD: \Drivers32\"msacm.l3codecp"="l3codecp.acm" . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Audio Layer-3 Codec for MSACM.) -- C:\WINDOWS\System32\l3codecp.acm
O52 - TDSD: \Drivers32\"msacm.sl_anet"="sl_anet.acm" . (.Sipro Lab Telecom Inc. - Audio codec for MS ACM.) -- C:\WINDOWS\System32\sl_anet.acm
O52 - TDSD: \Drivers32\"VIDC.JPEG"="JPEGCODE.DLL" . (...) -- C:\WINDOWS\System32\JPEGCODE.dll
O52 - TDSD: \Drivers32\"VIDC.MPEG"="JPEGCODE.DLL" . (...) -- C:\WINDOWS\System32\JPEGCODE.dll
O52 - TDSD: \drivers.desc\"C:\Windows\System32\l3codeca.acm"="Fraunhofer IIS MPEG Layer-3 Codec" . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Layer-3 Audio Codec for MSACM.) -- C:\Windows\System32\l3codeca.acm
O52 - TDSD: \drivers.desc\"sl_anet.acm"="Sipro Lab Telecom Audio Codec" . (.Sipro Lab Telecom Inc. - Audio codec for MS ACM.) -- C:\WINDOWS\System32\sl_anet.acm

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\PopCap Games] =>Adware.PopCap
[HKCU\Software\Softonic] =>Toolbar.Conduit
C:\ProgramData\AGI =>Toolbar.Kiwee

pour le reste de la désinfection attend qu'un helpeur confirmé te vienne en aide

il va falloir qu'il te fasse 1 script (entre autre)

tu peux exécuter adwcleaner en tant qu'administrateur et choisir le mode

suppression (garde le rapport l'helpeur en aura besoin)

le lien https://toolslib.net

le tuto https://forum.security-x.fr/tutoriels-317/(tutoriel)-adwcleaner/

@+

Réponse 4 / 18

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
19 oct. 2012 à 11:13

Bonjour à vous deux, je vais prendre la suite.

Tout d'abord je ne pense pas qu'il y ait Avast 5 et Avast 7 sur sa machine.
Si Avast5 était déjà installé la mise vers 7 se fait dans le même dossier Avast5

Toute s le$ignes O52 sont légitimes pas d'infections ici
C'est ok pour les autres ce sont des restes

MBAM a bien trouvé le Trojan.Ransom.Gen et l'a mis en quarantaine mais il va surement revenir car le processus malicieux n'a pas été tué avant.

Pour s'en assurer tu vas faire ceci:

* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous les programmes en cours
* Lance RogueKiller.exe.
* Attendre la fin du Prescan ...
* Clique sur Scan.
* A la fin du scan Clique sur Rapport. Copie et colle le rapport dans ta réponse

Smart

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 18

moi ninou Messages postés 14 Date d'inscription vendredi 19 octobre 2012 Statut Membre Dernière intervention 31 octobre 2012 2
19 oct. 2012 à 11:26

bonjour et un grand merci a tous

pour commencer je vien de supprimer tout les java et mettre le dernier en date, ainsi que adobe flash.
OUI j'avais avast 5 avant puis les version sont venu progressivement.
Et je n'ai jamais eu de possibilité de supprimer les version intérieur.

Voici le rapport de roguekiller:

RogueKiller V8.1.1 [01/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : ninou [Droits d'admin]
Mode : Recherche -- Date : 19/10/2012 11:17:38

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 5 ¤¤¤
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_TrackProgs (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3360320AS ATA Device +++++
--- User ---
[MBR] 517855b25cc9bbd6a22744e6199eafca
[BSP] 309fdfd200901d3359dd1e035123a213 : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 332595 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 681156000 | Size: 10801 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

j'éspère que sa va allez
merci d'avance de votre aide

Réponse 6 / 18

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
19 oct. 2012 à 11:34

* Reance RogueKiller.exe.
* Attendre la fin du Prescan ...
* Clique sur Scan.
* A la fin du scan:
* Clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse

Ensuite refais un scan complet avec MBAM
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Smart

Réponse 7 / 18

moi ninou Messages postés 14 Date d'inscription vendredi 19 octobre 2012 Statut Membre Dernière intervention 31 octobre 2012 2
19 oct. 2012 à 13:36

Re bonjours

j'ai d'abord fait une analyse avec roguekiller voici le rapport:

RogueKiller V8.1.1 [01/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : ninou [Droits d'admin]
Mode : Suppression -- Date : 19/10/2012 11:35:13

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 5 ¤¤¤
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_TrackProgs (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3360320AS ATA Device +++++
--- User ---
[MBR] 517855b25cc9bbd6a22744e6199eafca
[BSP] 309fdfd200901d3359dd1e035123a213 : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 332595 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 681156000 | Size: 10801 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

j'ai ensuite refait une analyse après suppression de ce qu'il a pu trouver
voici le rapport:

RogueKiller V8.1.1 [01/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : ninou [Droits d'admin]
Mode : Recherche -- Date : 19/10/2012 11:36:13

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3360320AS ATA Device +++++
--- User ---
[MBR] 517855b25cc9bbd6a22744e6199eafca
[BSP] 309fdfd200901d3359dd1e035123a213 : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 332595 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 681156000 | Size: 10801 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

et voici enfin le rapport de antimalwarebytes:

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.10.19.01

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19328
Philippe :: PC-DE-ninou [administrateur]

19/10/2012 11:36:54
mbam-log-2012-10-19 (11-36-54).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 447223
Temps écoulé: 1 heure(s), 48 minute(s), 59 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

encore merci pour l'aide que vous m'apporté

Réponse 8 / 18

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
19 oct. 2012 à 13:59

OK Cela semble bon, maintenant.
On va quand même faire un diagnostic du PC afin de voir s'il y a d'autres infections ou des restes
Refais un scan ZHPDiag et poste le rapport via pjjoint

Smart

Réponse 9 / 18

moi ninou Messages postés 14 Date d'inscription vendredi 19 octobre 2012 Statut Membre Dernière intervention 31 octobre 2012 2
19 oct. 2012 à 14:43

voici le lien du diagnostic ZHPDiag

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121019_c5q15w10v5d12

je croise les doight pour qu'il n'y ai plus de crasses

Réponse 10 / 18

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
19 oct. 2012 à 15:05

Il n'y a plus rien de méchant quelques restes:

A l'attention de ceux qui parcourent le sujet:
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
O43 - CFD: 1/05/2010 - 13:13:12 - [0,190] ----D C:\ProgramData\PopCapGamesv1005fr
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\PopCap Games]
[HKCU\Software\Softonic]
O43 - CFD: 27/09/2010 - 23:16:15 - [0,000] --H-D C:\ProgramData\Software
[HKCU\Software\Softonic]
EmptyTemp
EmptyFlash
EmptyCLSID
FirewallRAZ

----------------------------------------------------------
- Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

Et redémarre le PC

Smart

Réponse 11 / 18

moi ninou Messages postés 14 Date d'inscription vendredi 19 octobre 2012 Statut Membre Dernière intervention 31 octobre 2012 2
19 oct. 2012 à 15:31

j'éspère que je me suis pas trompé de rapport et que c'est celui-ci

Rapport de ZHPFix 1.3.04 par Nicolas Coolman, Update du 30/09/2012
Fichier d'export Registre :
Run by ninou at 19/10/2012 15:15:47
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\PopCap Games
SUPPRIME Key: HKCU\Software\Softonic

========== Valeur(s) du Registre ==========
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :
SUPPRIME FirewallRaz (None) : {30E33AAB-5F47-407B-9DDA-73BB42D0A09A}

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{030327D7-4E0B-4BDD-8394-4A4444941911}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{04E081BA-C360-4C2C-BAE7-8756AC5FFB83}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{07875391-94C6-4A4B-8803-CAB32B64CDD1}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{086BC677-2C51-44A7-AB05-3A8D0B76C2E3}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{0B82EA42-3476-4CA7-BFD8-FD393EF5F78A}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{0BB403EB-BD3B-443B-9AD0-DD2F601C3EFE}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{0F6E9D2A-A2E5-4F4E-9A94-2F476A704E64}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{0F952065-4943-450A-80DD-438B116CEBD2}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{10C1415D-804A-4B14-86DD-934B43123CF2}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{15375075-9A64-44D2-8C37-7AA9B3801DF9}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{1608F216-340F-43EB-87F8-85074945B9D7}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{17E42EE2-81C2-44CA-A63E-14F46B8860C2}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{19559B3F-962B-4F2F-B83D-27692F27DABB}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{1C4FAF62-9787-4A15-8E7A-4FA712B7FF7C}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{1D600383-31E2-4521-99A3-569581E572BA}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{1FA95E28-BBB1-493E-8010-D6B7309CA3B8}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{2068C72A-EE20-4EDD-AD33-FD791C89F75B}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{21BAB772-4364-4DB4-AAFA-D54BF020DEE0}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{21CE82B8-B86D-41A6-BD67-9732F32C79EA}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{21D724A7-BAFB-48D5-BBCD-955ECAD6DF0B}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{24A33448-CB00-4627-BCF0-9983172DE751}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{24E8A47E-3AC8-4428-8BF9-749554A5086C}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{25ECF7DC-CD4C-4075-8AEC-26483BCA087B}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{2985E352-9102-4D1E-AB77-738212C990FD}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{29EE52C8-4DD2-4025-A5E5-1A4B26BB256C}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{2A8CB158-D41C-4DBC-B7DF-150E8854F58E}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{2B52F0A5-1CD1-4B12-8C8C-568F80D43AF1}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{2C6A012D-B557-45BB-BE79-6CDFED7891B0}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{2E7BE6B9-90CD-4BCE-B3DB-2D54BBCAC767}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{30858D25-E477-4596-9EDD-6384E4CFCD0B}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{314BD89F-4363-4FE6-AC03-F7475DCB6B25}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{33F88239-7592-41CE-83D7-B9EE692FD1AB}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{35137EC8-62DF-4499-B6CF-EC90BAA63FD8}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{355C05EC-5D61-4FCA-8897-1EA8736B568C}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{35BD6FC7-7997-4398-A624-8B83F9884156}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{35F3CAFB-E45D-40FD-B07B-C40CE6763F6B}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{38C317BA-D1A5-4348-9BAF-33BFA9BF19C6}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{396143C5-A9F6-4451-832B-56AB06613A77}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{397B2149-26AE-40DE-A933-2112148BDBEF}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{3ABC33CF-8192-4E8C-9FA5-16D1D6EECD63}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{3BF7629A-2ABD-4537-A5EB-B5F784235364}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{3DDE89B4-1064-4664-85D3-EF1EADB5D732}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{3F235562-680F-41B6-9187-9E01F01B3585}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{3F297580-1931-449D-85D3-BD2068EBB349}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{4372CB99-B4E5-4B7D-8B12-12FD3C5A7BBE}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{45542E11-83D6-43F2-89F8-BFCC8CBC7660}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{46FEBF5A-F5A5-409F-9799-B2F375761500}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{476809BB-542D-4EFD-91C5-73C4436BCD88}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{4825F7AA-5A8A-4C44-AE82-B9133EBBA4A3}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{497D48D0-F919-4BBA-82C9-7FC11E79FF3C}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{49A59279-7489-40A3-81E9-FCA88F93100F}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{4B9E1A84-13C9-4970-AC1A-F3668C36E34C}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{4BFE1130-AFBA-4DD3-869B-D5C0793D84B6}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{4C309778-96B4-46BD-A5D1-3C4DCE1D3338}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{4EE1CBC7-4384-4FB2-8129-7188377F91BF}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{51F114BF-3CEA-4331-ACEA-1FE64AFFB6EC}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{523341C4-A04E-4296-B211-0FFDAD3F6FED}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{5316230E-1ACC-471A-A992-4DA4F8DE64FA}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{54A094C7-59E2-4EAC-97B8-39CA1E0DA425}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{558E0B63-055A-4150-B816-6B84347F430A}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{5898A5D4-1508-498D-A220-24262D9411F6}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{5AF482FB-2D5D-4BD8-8794-42877DE53C29}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{5B3A82B0-7AEF-4701-B435-133CBA443898}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{5B5B7BE3-FD86-4A97-B2B3-A96023C67A8A}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{5C7DBEF4-2EF9-4A64-8395-DA05DC538217}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{5CE7F05B-25A2-4039-854F-B45997452F9A}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{5E39DDCE-0EC0-44D0-89FE-E06972190704}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{5FA746E8-13F9-4161-A642-8D58B526B74A}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{6247F7CD-E518-427D-B27E-EB2852C127AB}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{62CB85FC-2F22-4327-B014-6A812EF7439A}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{644B5305-CC13-4B02-8897-B22832C823BA}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{6510427C-A292-4BDC-A3E4-D005402FE636}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{664C0271-B6DF-4CBE-B101-15085D729C39}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{67B063E2-1C8B-466B-86ED-F9999B74B59E}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{6982E5DA-D49D-4AE4-9B78-87575C8C60EF}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{69C0C427-3262-47E1-95F5-BE94BD8130DC}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{6D4FF6AC-91D6-439D-871D-D5B170A17CC0}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{6DAAC8C8-6AE2-4401-AA73-E3E06CCBB853}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{6DE8334D-2E6A-4642-9143-B08EA67F3C31}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{712ED01B-CAF2-4335-B4C9-E630BF2E6572}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{7460E099-2165-47DE-AD06-F85E1F729B90}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{755D5419-E795-4760-B773-0167B1BE1569}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{7958FBED-365D-4035-AA8E-BE0E68243D40}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{79BA6100-235B-4FF5-9A27-35E50AA7BA55}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{7C7A9B95-5DB2-480A-B27A-FED5B83AA09E}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{7D11CF6D-CE60-452E-9723-C142C70B2036}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{7DF2F7DD-F4FE-4956-8B03-52CACD74B8DA}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{7F221044-ED6F-49F5-B8EA-76E8DA18D85C}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{816C69D5-E2A1-4AEA-8F87-3B3541AF2A68}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{81D8A29D-F40F-445F-AE39-47C650AEE333}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{8385B3AF-EB35-42B1-A2BA-B4304E6AB0CC}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{8482D1EB-F50E-4FB9-A745-5AA29B034625}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{85BBDBF6-2652-4A47-9649-30BD0ACC091E}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{87AC1283-42E1-446B-BC19-C05378C267D9}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{88EB39D3-692D-4443-B766-8615E3AA4440}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{89D2424D-9FD1-4931-A0C6-568734630499}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{8AE3CEAD-0DE2-477D-972B-EEB78465783F}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{8C090478-02FF-4DB1-8049-953C7431BA21}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{8C66B573-862A-493E-84B2-D07CBC49E5C8}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{8C985191-AA40-46B6-9657-D54E22D85847}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{932757BB-8D79-4FDF-B878-7C0192F7886E}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{963ABBCE-F0BA-4E1D-87ED-10D46AADDF6D}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{98E35942-EDEE-4F67-B09A-773B67502EC3}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{9D7544C8-E4DF-4418-8F21-B9A4C2C99877}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{9DCE4500-6F15-4087-99F5-5798EC2091F4}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{9E673B3A-9FD8-4D95-8D12-9FD52076DB07}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{9FCB1FD3-561D-485E-B652-4B1AA0030FFE}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{A137F961-65C8-4F4E-8EE4-4D0667991906}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{A15F6F05-510A-4810-BCE7-525F3DE7FED1}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{A1DE5CCC-7B95-4069-808D-CAC33C89509E}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{A493DD95-C06C-4036-913D-407D769F7B5E}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{A4EBAD47-C5BA-4DBE-B25E-5CCC339940FA}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{A4ECA02E-D974-4274-A738-15C309960117}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{A5DA8864-C0B3-4B84-AECA-65098F58ADB2}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{A62C6F93-466A-423B-851E-CE761365EDC3}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{A6A406AE-8BEC-4B2C-BEE1-6AD1B3232B8F}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{A6DA3E74-7394-4626-AC58-57DCBE883FD1}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{A7E8D17B-9563-46BA-8048-B5A256290866}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{AA23B603-2E21-4452-826B-86F7E47A460A}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{AA6DE8CC-908F-4CC7-A6CE-F884F01F768D}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{AD1FB4F0-6C85-423E-9A3D-D6A8BB97D80C}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{AE868E32-3617-4F80-B27C-1CC4D3F2E228}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{AE8FBDB9-85E8-43D2-BDB1-886193C16686}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{AEA17350-8BD4-4222-AB76-F1F19364B450}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{AF8E23F0-2C42-4464-8656-96C0015F4426}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{B12A35E8-AEBA-4DB9-80B0-EA572FF63131}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{B3832DE0-03A1-4045-BEC8-7DEE2716C2F4}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{B5BA70E0-CB9A-407D-A7BA-EC6B07EF9C6B}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{B64A0C7C-2E0E-47D8-A831-11F3DC7BD2A1}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{B7446556-6B4C-4F69-B175-6D60CBDD69E1}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{B90E455E-5BD1-4F3A-9F07-BEF576F3DD18}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{B9D55B7D-8E47-4C46-86F9-B360A689FAA9}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{BF906A9A-6943-48F4-8251-1E649AE9F7E3}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{C1954031-5143-4C04-B67C-D22DCCEDE0B4}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{C42A69FE-D356-41F1-B115-F916E05D5DCB}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{C4B0476A-D54A-4C1B-8F68-5E1FE67AED55}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{C4E4DFC7-46D1-4577-B761-839FDA2E4229}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{C5035D2C-44A5-4A05-8B19-FBDD77A4331C}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{C6AD0993-CA34-41B5-817A-B015F2B66796}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{C9AD97CD-E1C8-4231-B1ED-005CE0B25AFB}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{CA307960-11EA-48A9-B88E-017354D5517E}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{CB46BF97-D1A7-4A3C-890B-41E665F734A4}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{CBAC23B8-4036-4C92-93BB-D140E76EF755}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{CBD0A4C5-E237-4919-BE6E-6F16AA245467}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{CC36D5BF-8B58-4390-A3CF-3B546FA98C94}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{CE6E750D-59EE-4861-84C0-A9E736A7B50B}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{CE7C2426-D836-4813-B7A0-50FEC970CC4E}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{CFC1DC01-F90A-4E57-B126-C8A673F9F790}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{D03A0C60-A350-4497-9CE9-649FDA728FB6}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{D0E01C7C-FE3A-4A4F-AC73-51774271CB63}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{D3A8FE07-BDA1-4D74-A972-D7A4A940E9D4}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{D5647746-A3F9-4D93-B7FD-14BF6DB75716}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{D6743A6C-12C1-4527-BA79-7F3C720D0AC8}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{D8626D68-9C45-4A1C-830D-FAB947241BD3}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{DA4F1EBC-3151-491E-AB23-B3E35E88B2DF}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{DA6CED10-E27D-497D-AD72-41E6B88AA9DE}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{DA9CB50C-D8DB-4295-BDE6-09EDCCD766C7}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{DC9CC85C-E157-4D29-B1B3-59E72FC0439D}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{DCD655E9-83BD-421C-BC8F-6F9314351847}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{DE030545-1A34-457F-BAA9-22CE687E77E3}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{DF8B7D32-7252-4C70-B1BF-A40951878F11}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{E0596622-D75B-4383-9D96-184DC7964AE1}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{E10A4B82-50E0-4319-AD91-FBA58319B9C5}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{E27BD45A-DA87-42EA-9DE9-3062D4D22469}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{E2E64779-7CAE-4DC1-8E2A-E8AA20104E6E}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{E714BC2D-EFF5-41BB-9A92-701C6D2EFCAE}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{E7A98397-5477-4AD5-95A5-0F3EE08AEDB7}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{E8D25B22-E892-44A7-9814-2CE1BA1E9B08}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{E8EC8AC9-A67A-48EF-9495-A22A34EEF1F1}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{E9975B15-B1BB-4B57-A827-7AAECBEA5DF7}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{EB8FDDE5-EE99-4F79-8AE3-D5E76059D372}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{EC0CC2E2-CDC4-4276-B903-267DEC95BB2B}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{EE845DA2-F17E-4012-AB56-FAAD87F952E1}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{F0BD13BD-3026-4786-8F1E-58ACC754850F}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{F1AF8AC3-DB07-4823-AE00-DFCC424C98E8}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{F1CC414E-558A-48F6-A422-709CD0C521D1}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{F2B57AAD-08C1-48E1-9024-827154AA4876}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{F3309F0A-F2B4-4716-9EDC-AA906D0A7309}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{F7462A0C-1EC2-4910-A23A-735F83F8E0AF}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{F84891F7-7659-4292-9536-7AB67CAE8F0F}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{FACB5834-A4E4-4E19-A939-27B226C922A3}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{FB02E9E0-420E-4D59-A26D-0DA4FC2CD999}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{FB03C8B9-85E3-498D-91D3-1F5713C4B3BD}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{FC086664-0DFE-47B6-87E2-53992A96E4D7}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{FDED4914-6C75-44FF-AD4E-D32050B42057}
SUPPRIME Folder: C:\Users\ninou\AppData\Local\{FF458D5E-FD0D-466D-9548-5EB965CB8119}

========== Fichier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

Réponse 12 / 18

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
19 oct. 2012 à 15:37

Refais un dernier scan ZHPDiag et poste le rpport via pjjoint.
Ensuite on va passer à la phase finale. Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart

Réponse 13 / 18

moi ninou Messages postés 14 Date d'inscription vendredi 19 octobre 2012 Statut Membre Dernière intervention 31 octobre 2012 2
19 oct. 2012 à 15:58

voici le rapport ZHPDiag:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121019_t136q119y14

Réponse 14 / 18

moi ninou Messages postés 14 Date d'inscription vendredi 19 octobre 2012 Statut Membre Dernière intervention 31 octobre 2012 2
19 oct. 2012 à 17:02

bonjour

escusez moi pour les questions mais je me demandais
si il y a un post pour peux-être commancé la désinstallation des outils de sésinfection si je peux déja le faire
merci beaucoups pour votre aide et vos réponses

Réponse 15 / 18

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
19 oct. 2012 à 18:03

Fais la mise à jour suivante:

Mise à jour IE9
https://support.microsoft.com/en-us/office/internet-explorer-help-23360e49-9cd3-4dda-ba52-705336cc0de2?ui=en-US&rs=en-001&ad=US
Ou alors par Windows update

Optimisation:

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- c:\Program Files\HP\HP Software Update\HPWuSchd2.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] oobefldr.dll
OPT:O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] oobefldr.dll
[HKLM\Software\BrowserChoice]

----------------------------------------------------------
- Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

1. Désinstallation des outils

- Télécharge DelFix (d'Xplode) sur ton bureau.
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Sélectionne Suppression
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.

3. Il est nécessaire de désactiver puis réactiver la restauration système de Vista pour la purger.

Quelques conseils de Prévention

- Réactive l'UAC si ce n'est pas déjà fait. ==> https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.

WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Installe également ce programme qui va bloquer tous les sites qui proposent des adwares HOSTS Anti-PUPs/Adware
Voici un tuto pour t'aider : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
Si tu souhaites désinstaller HOSTS_Anti-PUPs/Adware, lance le raccourci qui a été créé sur le bureau.
Tu peux aussi lancer la commande : %windir%system32HOSTS_Anti-Adware.exe -uninstal en invite de commande.

- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

- Les logiciels gratuits à éviter

- Ouvertures Pop-Up publicitaires

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection

- Un autre dossier sur:
Comment se protéger des logiciels potentiellement indésirables (PUP)

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart

Réponse 16 / 18

moi ninou Messages postés 14 Date d'inscription vendredi 19 octobre 2012 Statut Membre Dernière intervention 31 octobre 2012 2
19 oct. 2012 à 18:29

voila IE 9 mis a jours
voici le rapport:

# DelFix v9.0 - Rapport créé le 19/10/2012 à 18:21:13
# Mis à jour le 23/09/12 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : ninou - PC-DE-ninou (Administrateur)
# Exécuté depuis : C:\Users\Philippe\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\77E886H1\delfix.exe
# Option [Suppression]

~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Users\ninou\Desktop\RK_Quarantine
Non Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\ninou\Desktop\RKreport[1].txt
Supprimé : C:\Users\ninou\Desktop\RKreport[2].txt
Supprimé : C:\Users\ninou\Desktop\RKreport[3].txt
Supprimé : C:\Users\ninou\Desktop\RKreport[4].txt
Supprimé : C:\Users\ninou\Desktop\RogueKiller.exe
Supprimé : C:\Users\ninou\Desktop\ZHPDiag.txt
Supprimé : C:\Users\ninou\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\Soeperman Enterprises Ltd.
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

Réponse 17 / 18

moi ninou
19 oct. 2012 à 19:05

tout d'abord je tenais a vous remercier de l'aide si précieuse que vous m'avez apporté
même si je flippe encore

j'ai aussi 2 question
sur Hosts anti-pups/adware
est-ce que celui ci peux allez avec avast même ci avast n'ai peux-être pas le meilleur
ou dois-je en changer pour pouvoir mettre hosts ?

et vu que j'ai eu une infection dois-je aussi changer les logins (msn,facebook etc...)

merci encore pour toutes les réponse que vous m'apporté et je vous souhaite une bonne soirée.

Réponse 18 / 18

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
19 oct. 2012 à 19:45

Host anti-pup/adwares est complémentaire à Avast. Ce n'est pas un antivirus mais un petit programme qui va interdire l'accés à des sites parfois connus mais qui ont la mauvaise pratique d'inclure des barre d'outils inutiles et/ou des adwares dans les logiciels gratuits qu'il proposent et ainsi tu es redirigé vers des pages de pub. ce qui leur permet de gagner de l'argent

Je mpense pas que tu aies besoin de changer login et mots de passe. Mais si cela te rassure fais le

Heureux de t'avoir aidé

Smart

Discussions similaires

Comment supprimer le virus Trojan

Virus : trojan:win32/wacatac.h!ml

Aide pour un virus

Trojan impossible à supprimer!

C'est quoi "Win32:Trojan-gen {Other}"