Virus, obfuscator.zx, le supprimer.

Résolu/Fermé
calvin21 Messages postés 338 Date d'inscription samedi 17 avril 2010 Statut Membre Dernière intervention 17 avril 2015 - Modifié par calvin21 le 17/11/2012 à 13:39
 Utilisateur anonyme - 18 nov. 2012 à 17:19
Bonjour,

Mon AntiVirus Microsoft Security Essentials a détecté il y a quelques jours le virus obfuscator.zx. Evidemment, je l'ai supprimé. Mais voilà qu'il est réapparu hier soir. Je ne sais pas comment VRAIMENT m'en débarasser.

Il vient de le redétecter mais n'a pas pu le supprimer. Voila un screen: http://img819.imageshack.us/img819/3169/capture2ox.png

J'ai supprimé le fichier racine mais je doute qu'il soit totalement parti.

Pourriez vous m'aider? Merci


A voir également:

105 réponses

Utilisateur anonyme
17 nov. 2012 à 14:36
:-)


0
calvin21 Messages postés 338 Date d'inscription samedi 17 avril 2010 Statut Membre Dernière intervention 17 avril 2015 69
17 nov. 2012 à 14:39
Voila :))

http://cjoint.com/12nv/BKroNkt24Up.htm
0
calvin21 Messages postés 338 Date d'inscription samedi 17 avril 2010 Statut Membre Dernière intervention 17 avril 2015 69
Modifié par calvin21 le 17/11/2012 à 14:40
ARRGH! Je viens de le lire et je revois cette horreur de snap.do!!!!
0
Utilisateur anonyme
17 nov. 2012 à 14:47
relaxe, il a été remplacé dans IE !


relance ADWC, clique sur désinstaller,


remets moi un nouveau zhpdiag s'il te plait :D

poste le rapport via cjoint



0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
calvin21 Messages postés 338 Date d'inscription samedi 17 avril 2010 Statut Membre Dernière intervention 17 avril 2015 69
17 nov. 2012 à 14:50
Je fais ça
0
Utilisateur anonyme
17 nov. 2012 à 14:51
merciii :D


0
calvin21 Messages postés 338 Date d'inscription samedi 17 avril 2010 Statut Membre Dernière intervention 17 avril 2015 69
17 nov. 2012 à 14:53
Merci à toi oui! xD
0
calvin21 Messages postés 338 Date d'inscription samedi 17 avril 2010 Statut Membre Dernière intervention 17 avril 2015 69
17 nov. 2012 à 14:54
Re-bloque à 43
0
Utilisateur anonyme
17 nov. 2012 à 14:56
désactive le module O43 ou lance zhpfix, clique sur EmptyClsid !


relance zhpdiag après



0
calvin21 Messages postés 338 Date d'inscription samedi 17 avril 2010 Statut Membre Dernière intervention 17 avril 2015 69
17 nov. 2012 à 14:56
Voilz voila! http://cjoint.com/data3/3Kro4gim5eV.htm
0
calvin21 Messages postés 338 Date d'inscription samedi 17 avril 2010 Statut Membre Dernière intervention 17 avril 2015 69
17 nov. 2012 à 15:05
Alors? Je dois faire quoi maintenant?
0
Utilisateur anonyme
17 nov. 2012 à 15:06
* Lance ZHPFix via le raccourci sur ton Bureau



* * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------

[MD5.CA52AB39FC6EB75C519C77CE07104C6F] - (.Pas de propriétaire - Updater.) -- C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exe [233472] [PID.]
[MD5.CA52AB39FC6EB75C519C77CE07104C6F] [APT] [OptimizerPro1UpdaterTask{C6E9489F-29D3-4DFC-A3A7-39D70E650644}] (...) -- C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exe
O53 - SMSR:HKLM\...\startupreg\Bubble Dock [Key] . (...) -- C:\Users\Pierre\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe (.not file.)
[HKLM\Software\Wow6432Node\Google\Chrome\Extensions\elhjaoldnkkbifioodjndkijecdeinld]
[HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Bubble Dock]
O2 - BHO: (no name) [64Bits] - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} Clé orpheline
O44 - LFC:[MD5.97EC9AB361FF753B646C9259D03FE608] - 12/11/2012 - 18:57:43 ---A- . (...) -- C:\Windows\eReg.dat [568]
O51 - MPSK:{3d690d47-2c0c-11e2-8b38-e006e60378fd}\AutoRun\command. (...) -- F:\SETUP.exe
O51 - MPSK:{78da11a8-206e-11e2-a762-b888e34c4eff}\AutoRun\command. (...) -- F:\SETUP.exe
[MD5.00000000000000000000000000000000] [APT] [{63110006-7073-46D7-AB23-DC694EF502CA}] (...) -- C:\Users\Pierre\Desktop\MASetup.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{5B0EB721-1ED0-483F-945B-0EEA75FC4010}] (...) -- C:\Users\Pierre\Downloads\wirelesshacker2012.exe (.not file.)
O4 - Global Startup: C:\Users\Pierre\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Spybot - Search & Destroy.lnk . (.Safer Networking Limited.) -- C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe
R3 - URLSearchHook: (no name) [64Bits] - {ef79f67a-6ad7-4715-a0f8-932fca442023} . (.Ubisoft - Uplay PC Plugin.) (No version) -- (.not file.)
[MD5.73406FA9287B36CA4163797C73A2CD04] [SPRF][16/07/2012] (.Conduit Ltd. - Conduit Toolbar.) -- C:\Users\Pierre\AppData\Local\Temp\tbBitt.dll [4451144]
Emptytemp
EmptyClsid


----------------------------------------------------------
* Clique sur l'icone représentant le presse-papier (L'icone entre l'appareil photo et le parchemin, en haut à droite de la page d'outil)

- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html






tu as déjà MBAM sur ton pc Malwarebytes' Anti-Malware,

fais un clique droit dessus, lance le en tant qu'administrateur


. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


0
calvin21 Messages postés 338 Date d'inscription samedi 17 avril 2010 Statut Membre Dernière intervention 17 avril 2015 69
17 nov. 2012 à 15:11
Merci pour ta réponse, je n'arrive pas a ouvrir le tuto pour ZHPfix et meme en collant et GO, rien ne bouge
0
calvin21 Messages postés 338 Date d'inscription samedi 17 avril 2010 Statut Membre Dernière intervention 17 avril 2015 69
17 nov. 2012 à 15:14
Ah si. voila le rapport ZHPfix

Rapport de ZHPFix 1.3.06 par Nicolas Coolman, Update du 09/11/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-18-11-2012-15-13-34.txt
Run by Pierre at 18/11/2012 15:13:34
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)



========== Processus mémoire ==========
SUPPRIME Memory Process: C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exe

========== Module(s) mémoire ==========
SUPPRIME Memory Module: C:\Users\Pierre\AppData\Local\Temp\tbBitt.dll

========== Clé(s) du Registre ==========
SUPPRIME Key*: StartupReg: Bubble Dock
SUPPRIME Key: HKLM\Software\Wow6432Node\Google\Chrome\Extensions\elhjaoldnkkbifioodjndkijecdeinld
ABSENT Key: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Bubble Dock
SUPPRIME Key: CLSID BHO: {7DB2D5A0-7241-4E79-B68D-6309F01C5231}
SUPPRIME CLSID MPSK: {3d690d47-2c0c-11e2-8b38-e006e60378fd}
SUPPRIME CLSID MPSK: {78da11a8-206e-11e2-a762-b888e34c4eff}

========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {ef79f67a-6ad7-4715-a0f8-932fca442023}

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\Pierre\AppData\Local\{0CCD4756-A621-4BB2-A3E2-0870BC92E605}
SUPPRIME Folder: C:\Users\Pierre\AppData\Local\{2065219C-6C57-4871-A2D0-0177521007CF}
SUPPRIME Folder: C:\Users\Pierre\AppData\Local\{2DA2737A-C895-4440-998E-5120E38E5B71}
SUPPRIME Folder: C:\Users\Pierre\AppData\Local\{381904E1-18DB-48D3-BDED-9FF020892FC6}
SUPPRIME Folder: C:\Users\Pierre\AppData\Local\{39F416DB-A6FD-47D5-9BC3-BFB9C9CAB201}
SUPPRIME Folder: C:\Users\Pierre\AppData\Local\{42F3E1E0-B1F3-4E94-B559-01741B39F72B}
SUPPRIME Folder: C:\Users\Pierre\AppData\Local\{433A4112-10CF-4690-87CE-5F1BAD707F0F}
SUPPRIME Folder: C:\Users\Pierre\AppData\Local\{76811190-6A17-4948-AB1C-6BF3D2B6389B}
SUPPRIME Folder: C:\Users\Pierre\AppData\Local\{78E4C503-0444-4A99-B2A0-F0571430E113}
SUPPRIME Folder: C:\Users\Pierre\AppData\Local\{7CB0230D-7127-4430-A5E5-B15A3FE89379}
SUPPRIME Folder: C:\Users\Pierre\AppData\Local\{91D6EB82-BD0D-4939-A440-2636CC808371}
SUPPRIME Folder: C:\Users\Pierre\AppData\Local\{979D57C7-76D2-4841-933C-B553370E4291}
SUPPRIME Folder: C:\Users\Pierre\AppData\Local\{A0068D3F-0463-46B5-93E6-91AE9417BB16}
SUPPRIME Folder: C:\Users\Pierre\AppData\Local\{B3564146-BF17-442E-8888-CFA5C4FC9E90}
SUPPRIME Folder: C:\Users\Pierre\AppData\Local\{BC34D24C-D5D0-4693-9B4A-1D4B7837B10B}
SUPPRIME Folder: C:\Users\Pierre\AppData\Local\{E8E6FD31-3DFB-4777-B4DD-0D96AEBBBDAD}
SUPPRIME Folder: C:\Users\Pierre\AppData\Local\{F4B0F740-8CEF-4CBB-8028-90A13DDA4885}

========== Fichier(s) ==========
SUPPRIME File*: c:\programdata\premium\optimizerpro1\optimizerpro1.exe
ABSENT Folder/File: c:\programdata\premium\optimizerpro1\optimizerpro1.exe
ABSENT File: c:\users\pierre\appdata\roaming\nosibay\bubble dock\lbubble dock.exe
SUPPRIME File: c:\windows\ereg.dat
SUPPRIME Reboot f:\setup.exe
SUPPRIME File: c:\users\pierre\appdata\roaming\microsoft\internet explorer\quick launch\spybot - search & destroy.lnk
SUPPRIME File: c:\program files (x86)\spybot - search & destroy\spybotsd.exe
SUPPRIME File*: c:\users\pierre\appdata\local\temp\tbbitt.dll
SUPPRIME Temporaires Windows:

========== Tache planifiée ==========
SUPPRIME Task: OptimizerPro1UpdaterTask{C6E9489F-29D3-4DFC-A3A7-39D70E650644}
SUPPRIME Task: {63110006-7073-46D7-AB23-DC694EF502CA}
SUPPRIME Task: {5B0EB721-1ED0-483F-945B-0EEA75FC4010}


========== Récapitulatif ==========
1 : Processus mémoire
1 : Module(s) mémoire
6 : Clé(s) du Registre
1 : Valeur(s) du Registre
17 : Dossier(s)
9 : Fichier(s)
3 : Tache planifiée


End of clean in 00mn 07s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 18/11/2012 15:13:34 [3652]
0
calvin21 Messages postés 338 Date d'inscription samedi 17 avril 2010 Statut Membre Dernière intervention 17 avril 2015 69
17 nov. 2012 à 15:38
Alors?
0
calvin21 Messages postés 338 Date d'inscription samedi 17 avril 2010 Statut Membre Dernière intervention 17 avril 2015 69
17 nov. 2012 à 15:42
Il tourne. quelle sera la prochaine étape? finito? xD
0
calvin21 Messages postés 338 Date d'inscription samedi 17 avril 2010 Statut Membre Dernière intervention 17 avril 2015 69
17 nov. 2012 à 15:43
Je peux supprimer les logiciels installés au début?
0
Utilisateur anonyme
17 nov. 2012 à 15:44
avant de tout désinstaller,

il faut voir le rapport de MBAM !



0
calvin21 Messages postés 338 Date d'inscription samedi 17 avril 2010 Statut Membre Dernière intervention 17 avril 2015 69
17 nov. 2012 à 15:45
Ok je laisse tourner et je te recontacte apres. Merci beaucoup!
0
calvin21 Messages postés 338 Date d'inscription samedi 17 avril 2010 Statut Membre Dernière intervention 17 avril 2015 69
17 nov. 2012 à 15:45
Et pour le MBAM, si il détecte rien?
0
calvin21 Messages postés 338 Date d'inscription samedi 17 avril 2010 Statut Membre Dernière intervention 17 avril 2015 69
17 nov. 2012 à 16:07
Et je me demandais pourquoi, tout a l'heure seul Chrome était ouvert et j'avais 1.71Go de RAM utilisés!
0