Se débarasser du ver Ainslot.ARésolu/Fermé

Question

Bonjour, 

Cela fait quelque jours que mon pc portable rame beaucoup en particulier sur internet. Une analyse complete révèle la présence d'un ver, Win32/Ainslot.A

Une petite recherche sur internet m'iindique qu'il ne peut pas etre supprimé définitivement par l'antivirus (je possède MSE). En effet, il revient chaque jour meme apres avoir supprimé les clefs de registres inutiles avec Ccleaner.

Je vous demande donc s'il serait possible de m'aider pour que je me débarasse de cette plaie s'il vous plait.

Smart91 · Accepted Answer

OK.

* Télécharge sur le bureau RogueKiller (par tigzy) 
* Quitte tous les programmes en cours 
* Lance RogueKiller.exe. 
* Attendre la fin du Prescan ... 
* Clique sur Scan. 
* A la fin du scan Clique sur Rapport. Copie et colle le rapport dans ta réponse
 
Smart

Smart91 · Answer

bonjour, 

On va faire un diagnostic de ton PC: 

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau  
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou depuis ce lien si le premier a des soucis: 
http://www.forums-fec.be/ZHP/ZHPDiag2.exe 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions. 
  
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » 

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.  
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement"  
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix) 
-  Clique sur le tournevis à droite et coche toutes les cases" 
-  Clique sur la loupe  pour lancer l'analyse.  
-  Laisse l'outil travailler, il peut être assez long.  
-  Ferme ZHPDiag en fin d'analyse.  
-  Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/ 
-  Clique sur Parcourir et cherche le répertoire C:\ZHP 
-  Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir" 
-  Ensuite Clique sur "Envoyer le fichier".  
-  Copie le lien obtenu  dans ta réponse.  

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

ffvu · Answer

Salut ! 

Je suis désolé je viens à peine de voir votre message, ma boite mail l'ayant mis dans les courriers indésirables... 

Je suis en train de faire l'analyse avec ZHPdiag, je poste la réponse une fois finie !

EDIT : voilà le resultat : https://pjjoint.malekal.com/files.php?id=20121031_f9v7m12d9b9

Ca me semble un peu court, je n'ai peut etre pas fais comme il fallait...pourtant j'ai bien coché toutes les cases mais si je cliquais que la loupe ça ne faisais rien, j'ai dû appuyer sur le bouton juste en dessous "selectionne tous les fichier" avant de pouvoir cliquer sur la loupe.

Smart91 · Answer

Non ce n'est pas le bon.
Suis bien les instructions que j'ai données 
 
Smart

ffvu · Answer

Mea culpa, voici le bon rapport : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121101_y1210w11i6x15

Smart91 · Answer

Ton système est bien infecté.
Tout d'abord désinstalle Spybot, il est dépassé et ne fait que ralentir ton PC ==>
 https://www.commentcamarche.net/faq/7371-desinstaller-proprement-spybot-search-and-destroy-1-6
 
Je vois également que tu télécharges beaucoup, fais attention le P2P est un facteur important d'infections. Surtout les cracks et autres keygen pour utiliser un logiciel ou un jeu payant gratuitement

C'est quoi toutes ces videos airsoft/bivouac crées entre le 31/10 et 1/11 ?

Peux-tu poster ce rapport : 
C:\Users\ffvu\AppData\Roaming\Malwarebytes\Malwarebytes' Anti-Malware\Logs\mbam-log-2012-10-30 (19-43-12).txt

Ensuite on va faire un nouveau scan

* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser 
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.
 
Smart

ffvu · Answer

Si il y a beaucoup de téélchargements récents c'est étrange car je ne télécharge presque plus depuis la fermeture de megaupluad...par contre avant oui je téléchargeais pas mal.

Les vidéos sont des montages de mes parties d'airsoft que je suis en train de réaliser.

Le rapport demandé : 

Malwarebytes Anti-Malware (Essai) 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.10.30.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
ffvu :: FFVU-PC [administrateur]

Protection: Activé

30/10/2012 19:43:12
mbam-log-2012-10-30 (19-43-12).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 223040
Temps écoulé: 5 minute(s), 4 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\BrightBreeze (Adware.HotBar.BB) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 2
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Données: C:\Users\ffvu\LOCALS~1\Temp\msuwgld.com -> Suppression au redémarrage.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Données: C:\Users\ffvu\LOCALS~1\Temp\msuwgld.com -> Suppression au redémarrage.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 5
C:\Users\ffvu\AppData\Roaming\dclogs (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\2ACA5CC3-0F83-453D-A079-1076FE1A8B65 (Adware.Seekmo) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\BrightBreeze\bin (Adware.HotBar.BB) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\BrightBreeze\bin\2.0.5.0 (Adware.HotBar.BB) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\BrightBreezeSA (Adware.HotBar.BB) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 29
C:\Users\ffvu\AppData\Roaming\dclogs\2012-09-16-1.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-09-17-2.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-09-19-4.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-09-20-5.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-09-21-6.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-09-22-7.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-09-24-2.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-09-25-3.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-09-26-4.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-09-27-5.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-09-28-6.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-09-29-7.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-09-30-1.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-10-01-2.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-10-02-3.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-10-03-4.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-10-04-5.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-10-05-6.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-10-06-7.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-10-07-1.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-10-08-2.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-10-09-3.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-10-10-4.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-10-29-2.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-10-30-3.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\BrightBreeze\bin\2.0.5.0\copyright.txt (Adware.HotBar.BB) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\BrightBreezeSA\BrightBreezeSA.dat (Adware.HotBar.BB) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\BrightBreezeSA\BrightBreezeSAau.dat (Adware.HotBar.BB) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\BrightBreezeSA\BrightBreezeSA_kyf.dat (Adware.HotBar.BB) -> Mis en quarantaine et supprimé avec succès.

(fin)

Par contre vu que mon antivirus est à la base MSE, j'ai supprimé MBAM, je le retélécharge pour faire ce que tu m'as indiqué ?

Smart91 · Answer

Oui refais un scan MBAM et laisse les mises à jour s'installer
Il faudra également que tu changes tes identifiants et mot de passe en particulier si tu accèdes à des sites bancaires ou marchands. Vérifie également si tu n'as pas des retraits no désirés avec ta CB.

Ce sont ces lignes qui me font dire cela:
C:\Users\ffvu\AppData\Roaming\dclogs\2012-09-16-1.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-09-17-2.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.  

Smart

ffvu · Answer

Voilà le rapport :

Malwarebytes Anti-Malware (Essai) 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.11.01.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
ffvu :: FFVU-PC [administrateur]

Protection: Désactivé

01/11/2012 17:58:52
mbam-log-2012-11-01 (19-25-56).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 417986
Temps écoulé: 1 heure(s), 24 minute(s), 12 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 2
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Données: C:\Users\ffvu\LOCALS~1\Temp\msuwgld.com -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Données: C:\Users\ffvu\LOCALS~1\Temp\msuwgld.com -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Users\ffvu\AppData\Roaming\dclogs (Stolen.Data) -> Aucune action effectuée.

Fichier(s) détecté(s): 2
C:\Users\ffvu\AppData\Roaming\dclogs\2012-10-31-4.dc (Stolen.Data) -> Aucune action effectuée.
C:\Users\ffvu\AppData\Roaming\dclogs\2012-11-01-5.dc (Stolen.Data) -> Aucune action effectuée.

(fin)

Smart91 · Answer

Est-ce que tu as bien sélectionné les éléments et cliquer sur supprimer la sélection, car il est indiqué "Aucune effectuée".
Si c'est non il faudra recommencer 

Smart

ffvu · Answer

En fait j'ai attendu ta réponse mais gardé l'écran de resultat sous la main, je supprime de suite.

Je fais quoi ensuite ? ^^

Smart91 · Answer

Comme j'avais vu dans le rapport des adwares et barres d'outils inutiles
Tu vas faire ceci:

- Télécharge sur ton bureau  AdwCleaner de Xplode
- Lance le
- Choisis "Recherche" et poste le rapport
- Le rapport se trouve ici ==> C:\AdwCleaner[R1].txt
 
Smart

ffvu · Answer

Voilà : 

# AdwCleaner v2.006 - Rapport créé le 01/11/2012 à 22:59:16
# Mis à jour le 30/10/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : ffvu - FFVU-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\ffvu\Desktop\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Program Files (x86)\BrightBreeze
Dossier Présent : C:\ProgramData\Partner

***** [Registre] *****

Clé Présente : HKCU\Software\AppDataLow\Software
Clé Présente : HKCU\Software\AppDataLow\Software\AskToolbar
Clé Présente : HKCU\Software\Ask.com
Clé Présente : HKCU\Software\Conduit
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Clé Présente : HKLM\Software\Conduit
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

***** [Navigateurs] *****

-\ Internet Explorer v8.0.7601.17514

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [2634 octets] - [01/11/2012 22:59:16]

########## EOF - C:\AdwCleaner[R1].txt - [2694 octets] ##########


Je fais "supprimer" je suppose ^^

Smart91 · Answer

Tout à fait. Hé bien tu vois, tu vas devenir un expert :-)

- Lance AdwCleaner
- Clique sur [Suppression]. Sauvegarde tout travail en cours puis accepte la fermeture des programmes en cours d'exécution.
- Patiente le temps du nettoyage.
- Une fois le scan fini, il te sera proposé de redémarrer.
- Au redémarrage du PC, un rapport s'ouvrira. Poste le  contenu dans ta prochaine réponse.
- Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
 
Smart

ffvu · Answer

Voili voilou :

# AdwCleaner v2.006 - Rapport créé le 01/11/2012 à 23:33:28
# Mis à jour le 30/10/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : ffvu - FFVU-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\ffvu\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\BrightBreeze
Dossier Supprimé : C:\ProgramData\Partner

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software
Clé Supprimée : HKCU\Software\Ask.com
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\incredibar.com
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\incredibar.com
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

***** [Navigateurs] *****

-\ Internet Explorer v8.0.7601.17514

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [2759 octets] - [01/11/2012 22:59:16]
AdwCleaner[S1].txt - [2657 octets] - [01/11/2012 23:33:28]

########## EOF - C:\AdwCleaner[S1].txt - [2717 octets] ##########

Smart91 · Answer

Refais un scan ZHPDiag, coche toutes les cases des options et poste le rapport via pjjoint.
 
Smart

ffvu · Answer

Voilà :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121102_p7r8k7k11w6

Smart91 · Answer

On va supprimer manuellement les restes.

A l'attention de ceux qui parcourent le sujet:
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
[HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] Load: Modified
O4 - HKCU\..\Run: [Twain Working Group] . (.Pas de propriétaire - ConsoleApplication1.) -- C:\Users\ffvu\AppData\Roaming\Microsoft	wunk_16.exe
O4 - HKUS\S-1-5-21-2106100122-3646519628-4245367020-1017-2106100122-3646519628-4245367020-1000\..\Run: [Twain Working Group] . (.Pas de propriétaire - ConsoleApplication1.) -- C:\Users\ffvu\AppData\Roaming\Microsoft	wunk_16.exe
[HKCU\Software\DC3_FEXEC]
O2 - BHO: (no name) [64Bits] - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} Clé orpheline
O4 - Global Startup: C:\Users\ffvu\Desktop\Ordinateur - Raccourci.lnk - Clé orpheline
O43 - CFD: 01/11/2012 - 13:54:27 - [0,053] ----D C:\ProgramData\Spybot - Search & Destroy    => Spybot - Search & Destroy
[MD5.00000000000000000000000000000000] [APT] [RunAsStdUser Task] (...) -- C:\Program Files (x86)\BrightBreeze\bin\2.0.5.0\BrightBreezeSA.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{5A134A3C-C90A-4A23-97E8-27E21035CC9B}] (...) -- C:\Users\ffvu\Desktop\Nouveau dossier\atrac3.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{E02AB320-0CCF-40A4-A36F-4E385B92E1A5}] (...) -- C:\d For Speed High Stakes\uninst.dll (.not file.)
O51 - MPSK:{21acacd3-a8cf-11e0-bbc5-88ae1d97a269}\AutoRun\command. (...) -- E:\Autorun.exe
EmptyTemp
EmptyFlash
EmptyCLSID
FirewallRAZ

---------------------------------------------------------- 
- Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Et redémarre le PC 

Smart

ffvu · Answer

Mmmh c'est bizarre je n'ai eu aucun rapport

Smart91 · Answer

Est-ce qu tu as bien répondu oui à ce message:
"Voulez-vous autoriser le programme suivant..."

Le rapport doit se trouver ici: C:\ZHP\ZHPFix[R1].txt ou alors sur le bureau

Smart

ffvu · Answer

Après plusieures tentatives j'ai réussi à avoir un rapport, bizarre je n'ai rien fais de différent ^^

https://pjjoint.malekal.com/files.php?id=20121102_g8f6v11f13z10

J'ai aussi un fichier "ZHPFixQuarantine.txt" qui s'est créé, je l'envoie aussi ?

Smart91 · Answer

C'est OK c'est le bon rapport
Pas la peine de m'envoyer la quarantaine

Refais un scan ZHPDiag, n'oublie pas de cocher toutes les cases en options et poste le rapport via pjjoint.
Si tout est OK on passe à la phase finale.

Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart

ffvu · Answer

Voilà le rapport : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121102_f10e12w13z1015

Smart91 · Answer

OK.
Fais les mises à jour suivantes:

Mise à jour IE9
https://support.microsoft.com/en-us/office/internet-explorer-help-23360e49-9cd3-4dda-ba52-705336cc0de2?ui=en-US&rs=en-001&ad=US
Ou alors par Windows update

Mise à jour Java 7 update 9 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Ask" avant de cliquer sur suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 et Java 7 dont l'update est inférieur à 9

Mise à jour vers Adobe Reader 10.1.4
Lance Adobe Reader > Clique sur Aide puis recherche des mises à jour 

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : http://www.filehippo.com/updatechecker/UpdateChecker.exe
et lis ceci: Pourquoi tenir ses programmes a jour 

Optimisation:

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
[HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] Load: Modified
O51 - MPSK:{21acacd3-a8cf-11e0-bbc5-88ae1d97a269}\AutoRun\command. (...) -- E:\Autorun.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [LManager] . (.Dritek System Inc. - Launch Manager.) -- C:\Program Files (x86)\Launch Manager\LManager.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe
[HKLM\Software\BrowserChoice]

---------------------------------------------------------- 
- Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

1. Désinstallation des outils

- Télécharge DelFix (d'Xplode) sur ton bureau. 
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur) 
- Sélectionne Suppression 
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message. 

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt ) 
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation. 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 

3. Il est nécessaire de désactiver puis réactiver la restauration système de Windows 7 pour la purger

Quelques conseils de Prévention

- Réactive l'UAC si ce n'est pas déjà fait. ==> https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Installe également ce programme qui va bloquer tous les sites qui proposent  des adwares HOSTS Anti-PUPs/Adware
Voici un tuto pour t'aider : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
Si tu souhaites désinstaller  HOSTS_Anti-PUPs/Adware, lance le raccourci qui a été créé sur le bureau.
Tu peux plus tard si tu désires le désinstaller lancer la commande : %windir%system32HOSTS_Anti-Adware.exe -uninstal en invite de commande.

- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html 

- Les logiciels gratuits à éviter

- Ouvertures Pop-Up publicitaires

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

- Un autre dossier sur:
Comment se protéger des logiciels potentiellement indésirables (PUP)

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart

ffvu · Answer

Salut !

Alors déjà le rapport ZHPFix :

Rapport de ZHPFix 1.3.05 par Nicolas Coolman, Update du 09/10/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-04-11-2012-18-22-01.txt
Run by ffvu at 04/11/2012 18:22:00
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://nicolascoolman.skyrock.com/



========== Clé(s) du Registre ==========
SUPPRIME CLSID MPSK: {21acacd3-a8cf-11e0-bbc5-88ae1d97a269}
SUPPRIME Key*: HKLM\Software\BrowserChoice

========== Valeur(s) du Registre ==========
ABSENT Value Key: Load
ABSENT RunValue: Adobe Reader Speed Launcher
SUPPRIME RunValue: LManager
SUPPRIME RunValue: QuickTime Task

========== Fichier(s) ==========
ABSENT File: e:\autorun.exe


========== Récapitulatif ==========
2 : Clé(s) du Registre
4 : Valeur(s) du Registre
1 : Fichier(s)


End of clean in 00mn 01s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 02/11/2012 18:33:16 [72407]
C:\ZHP\ZHPFix[R2].txt - 04/11/2012 18:22:01 [890]


Ensuite le rapport DelFix :

# DelFix v9.0 - Rapport créé le 04/11/2012 à 18:26:02
# Mis à jour le 23/09/12 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : ffvu - FFVU-PC (Administrateur)
# Exécuté depuis : C:\Users\ffvu\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\USBFix
Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\UsbFix.txt
Supprimé : C:\UsbFix_Upload_Me_FFVU-PC.zip
Supprimé : C:\Users\ffvu\Desktop\adwcleaner.exe
Supprimé : C:\Users\ffvu\Desktop\AdwCleaner[R1].txt
Supprimé : C:\Users\ffvu\Desktop\UsbFix.exe
Supprimé : C:\Users\ffvu\Desktop\ZHPDiag.txt
Supprimé : C:\Users\ffvu\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\ffvu\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\ffvu\Desktop\ZHPSearch.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\log.txt

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\USBFix
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1547 octets] - [04/11/2012 18:26:02]

########## EOF - C:\DelFix[S1].txt - [1671 octets] ##########


Sinon, je te remercie pour le temps que tu as passé pour m'aider à désinfecter mon PC, c'est vraiment gentil de ta part.
Merci aussi pour les liens que je vais bien éplucher !
Ca fait du bien de se sentir un peu plus en sécurité sur son pc !

Smart91 · Answer

Heureux de t'avoir aidé

Smart

ffvu · Answer

Bonsoir, les virus ont été supprimé depuis je n'ai plus de problème avec, merci !

Par contre quelques jours après, malwarebytes m'en détecte deux nouveaux. Je supprime, mais à chaque fois que je fais une analyse complète ils reviennent encore et encore...

Il s'agit d'un "PUM.UserWLoad" et d'un "Trojan.Ransom"

Voici le rapport d'analyse de Malwarebytes :


Malwarebytes Anti-Malware (PRO) 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.12.09.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
ffvu :: FFVU-PC [administrateur]

Protection: Activé

10/12/2012 12:54:48
mbam-log-2012-12-10 (12-54-48).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 426313
Temps écoulé: 1 heure(s), 10 minute(s), 14 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 2
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Données: C:\Users\ffvu\LOCALS~1\Temp\msuwgld.com -> Suppression au redémarrage.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Données: C:\Users\ffvu\LOCALS~1\Temp\msuwgld.com -> Suppression au redémarrage.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)


Voilà donc si jamais tu pouvais m'aider encore un petit peu ça serait super, merci :)

Smart91 · Answer

Est-ce que tu as bien redémarré le PC après avoir passé MBAM ? 

Smart

ffvu · Answer

Oui, à chaque fois depuis 3 bonnes semaines environ (peut être un peu plus)

Désolé de t'embêter encore ^^

ffvu · Answer

Voici le rapport, il y a bien quelque chose : RogueKiller V8.3.2 [Dec 10 2012] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : ffvu [Droits d'admin] Mode : Recherche -- Date : 11/12/2012 09:47:30 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 8 ¤¤¤ [SHELL][SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\ffvu\LOCALS~1\Temp\msuwgld.com) -> TROUVÉ [SHELL][SUSP PATH] HKUS\S-1-5-21-2106100122-3646519628-4245367020-1000[...]\Windows : Load (C:\Users\ffvu\LOCALS~1\Temp\msuwgld.com) -> TROUVÉ [DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{3568A08F-0AA6-4572-901C-EC8E79A11F67} : NameServer (178.33.41.181,46.4.70.20) -> TROUVÉ [DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{C7474902-AAE0-4098-9EC3-11FC2A076D2B} : NameServer (178.33.41.181,46.4.70.20) -> TROUVÉ [DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{3568A08F-0AA6-4572-901C-EC8E79A11F67} : NameServer (178.33.41.181,46.4.70.20) -> TROUVÉ [DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{C7474902-AAE0-4098-9EC3-11FC2A076D2B} : NameServer (178.33.41.181,46.4.70.20) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 activate.adobe.com 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ATA Hitachi HTS54505 SCSI Disk Device +++++ --- User --- [MBR] 59284861b2e8a6712e3591682098bb78 [BSP] 656962177d080c6ff0e997b623a5f849 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13312 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27265024 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 27469824 | Size: 463526 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_11122012_094730.txt >> RKreport[1]_S_11122012_094730.txt Je suppose que je supprime le tout ?

Smart91 · Answer

c'est revenu

* Relance RogueKiller.exe. 
* Attendre la fin du Prescan ... 
* Clique sur Scan. 
* A la fin du scan:

* Clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse

* Clique sur Host RAZ. Clique sur Rapport. Copier et coller le rapport dans ta réponse
 
* Clique sur DNS RAZ. Clique sur Rapport. Copier et coller le rapport dans ta réponse 

Smart

ffvu · Answer

Rapport de suppression : RogueKiller V8.3.2 [Dec 10 2012] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : ffvu [Droits d'admin] Mode : Recherche -- Date : 11/12/2012 22:24:15 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 8 ¤¤¤ [DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{3568A08F-0AA6-4572-901C-EC8E79A11F67} : NameServer (178.33.41.181,46.4.70.20) -> TROUVÉ [DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{C7474902-AAE0-4098-9EC3-11FC2A076D2B} : NameServer (178.33.41.181,46.4.70.20) -> TROUVÉ [DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{3568A08F-0AA6-4572-901C-EC8E79A11F67} : NameServer (178.33.41.181,46.4.70.20) -> TROUVÉ [DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{C7474902-AAE0-4098-9EC3-11FC2A076D2B} : NameServer (178.33.41.181,46.4.70.20) -> TROUVÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 activate.adobe.com 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ATA Hitachi HTS54505 SCSI Disk Device +++++ --- User --- [MBR] 59284861b2e8a6712e3591682098bb78 [BSP] 656962177d080c6ff0e997b623a5f849 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13312 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27265024 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 27469824 | Size: 463526 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[3]_S_11122012_222415.txt >> RKreport[1]_S_11122012_094730.txt ; RKreport[2]_S_11122012_211324.txt ; RKreport[3]_S_11122012_222415.txt Rapport Host RAZ : RogueKiller V8.3.2 [Dec 10 2012] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : ffvu [Droits d'admin] Mode : HOSTS RAZ -- Date : 11/12/2012 22:26:07 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 activate.adobe.com 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com [...] ¤¤¤ Nouveau fichier HOSTS: ¤¤¤ Termine : << RKreport[5]_H_11122012_222607.txt >> RKreport[1]_S_11122012_094730.txt ; RKreport[2]_S_11122012_211324.txt ; RKreport[3]_S_11122012_222415.txt ; RKreport[4]_S_11122012_222604.txt ; RKreport[5]_H_11122012_222607.txt Rapport DNZ ZAZ : RogueKiller V8.3.2 [Dec 10 2012] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : ffvu [Droits d'admin] Mode : DNS RAZ -- Date : 11/12/2012 22:26:32 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 4 ¤¤¤ [DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{3568A08F-0AA6-4572-901C-EC8E79A11F67} : NameServer (178.33.41.181,46.4.70.20) -> REMPLACÉ () [DNS] HKLM\[...]\ControlSet001\Services\Interfaces\{C7474902-AAE0-4098-9EC3-11FC2A076D2B} : NameServer (178.33.41.181,46.4.70.20) -> REMPLACÉ () [DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{3568A08F-0AA6-4572-901C-EC8E79A11F67} : NameServer (178.33.41.181,46.4.70.20) -> REMPLACÉ () [DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{C7474902-AAE0-4098-9EC3-11FC2A076D2B} : NameServer (178.33.41.181,46.4.70.20) -> REMPLACÉ () ¤¤¤ Driver : [NON CHARGE] ¤¤¤ Termine : << RKreport[6]_DN_11122012_222632.txt >> RKreport[1]_S_11122012_094730.txt ; RKreport[2]_S_11122012_211324.txt ; RKreport[3]_S_11122012_222415.txt ; RKreport[4]_S_11122012_222604.txt ; RKreport[5]_H_11122012_222607.txt ; RKreport[6]_DN_11122012_222632.txt A savoir que juste apres avoir fait la derniere action (DNS RAZ) une fenêtre bleue s'est ouverte en disant que la protection anti malware de PenWes était desactivée. Alors que je n'ai jamais installé ce logiciel. Comme la croix pour fermer la fenêtre me semblait bizarre j'ai directement ouvert le gestionnaire des tâches : processus : PenWes.exe : terminer processus.

Smart91 · Answer

Hé bien oui ce logiciel penwes c'est lui qui fait les redirection DNS.
Tu as surement l'insllaer avec un autre logiciel et tu n'as pas décioché la case qui proposait d'installer penwes en même temps que l'autre logiciel.

Désinstalle le par ajout/suppressions de programmes dans le panneau de configuration

Ensuite tu fais ceci:

* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser 
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Smart

ffvu · Answer

Bonsoir, PenWes désinstallé, analyse Malwarebytes faire, aucun virus :


Malwarebytes Anti-Malware (PRO) 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.12.11.11

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
ffvu :: FFVU-PC [administrateur]

Protection: Activé

12/12/2012 21:27:14
mbam-log-2012-12-12 (21-27-14).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 426747
Temps écoulé: 1 heure(s), 45 minute(s), 53 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

ffvu · Answer

Je viens aussi de refaire un scan avec RogueKiller, il m'a retrouvé des choses... En fait il y a un truc bizarre, à chaque fois que je clique sur "supprimer" après le scan, RogueKiller plante systématiquement à la fin de la barre de progression "RogueKiller a rencontré un problème et doit fermer, etc" Voici le rapport de scan : RogueKiller V8.3.2 [Dec 10 2012] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : ffvu [Droits d'admin] Mode : Recherche -- Date : 13/12/2012 10:19:19 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 4 ¤¤¤ [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 activate.adobe.com 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ATA Hitachi HTS54505 SCSI Disk Device +++++ --- User --- [MBR] 59284861b2e8a6712e3591682098bb78 [BSP] 656962177d080c6ff0e997b623a5f849 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13312 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27265024 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 27469824 | Size: 463526 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_13122012_101919.txt >> RKreport[1]_S_13122012_101919.txt

Smart91 · Answer

OK. supprime RogueKiller.
Re-télécharge le depuis ce lien : https://www.luanagames.com/index.fr.html

Refais un  scan et poste le rapport

Smart

ffvu · Answer

Voilà le rapport : RogueKiller V8.4.0 _x64_ [Dec 14 2012] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : ffvu [Droits d'admin] Mode : Recherche -- Date : 14/12/2012 09:49:23 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 4 ¤¤¤ [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 activate.adobe.com 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ATA Hitachi HTS54505 SCSI Disk Device +++++ --- User --- [MBR] 59284861b2e8a6712e3591682098bb78 [BSP] 656962177d080c6ff0e997b623a5f849 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13312 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27265024 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 27469824 | Size: 463526 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_14122012_094923.txt >> RKreport[1]_S_14122012_094923.txt

Smart91 · Answer

* Lance RogueKiller.exe. 
* Attendre la fin du Prescan ... 
* Clique sur Scan. 
* A la fin du scan Clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse 


Ensuite tu fais ceci:

- Télécharge RstHosts (d'Xplode) sur ton bureau.
- Lance le et appuie sur Restaurer
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.


Smart

ffvu · Answer

Le rapport de suppression de RogueKiller : RogueKiller V8.4.0 _x64_ [Dec 14 2012] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : ffvu [Droits d'admin] Mode : Suppression -- Date : 14/12/2012 09:49:53 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 4 ¤¤¤ [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0) [HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0) [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) [HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 activate.adobe.com 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ATA Hitachi HTS54505 SCSI Disk Device +++++ --- User --- [MBR] 59284861b2e8a6712e3591682098bb78 [BSP] 656962177d080c6ff0e997b623a5f849 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13312 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27265024 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 27469824 | Size: 463526 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2]_D_14122012_094953.txt >> RKreport[1]_S_14122012_094923.txt ; RKreport[2]_D_14122012_094953.txt Et le rapport RstHosts : -|x| RstHosts v2.0 - Rapport créé le 14/12/2012 à 10:19:18 -|x| Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits) -|x| Nom d'utilisateur : ffvu - FFVU-PC (Administrateur) -|x|- Informations -|x|- Emplacement : C:\Windows\System32\drivers\etc\hosts Attribut(s) : RASH Propriétaire : Administrateurs - BUILTIN Taille : 89 bytes Date de création : 14/07/2009 - 03:34:48 Date de modification : 14/12/2012 - 10:19:10 Date de dernier accès : 14/12/2012 - 10:19:10 -|x|- Contenu du fichier -|x|- # Fichier Hosts créé par RstHosts 127.0.0.1 localhost ::1 localhost -|x|- E.O.F - C:\RstHosts.txt - 623 bytes -|x|-

Smart91 · Answer

Comment se comporte le PC ?

Smart

ffvu · Answer

Pour l'instant très bien.

Smart91 · Answer

Donc tout est OK .
Et fais un scan MBAM une fois par moi environ
Heureux de t'avoir aidé.

Smart

ffvu · Answer

Je te remercie pour ton aide et le temps que tu y as passé !

Se débarasser du ver Ainslot.A

43 réponses

Discussions similaires

Newsletters