2 virus tenaces PUM.UserWLoad Résolu/Fermé

Question

Bonjour, 


2 virus persiste dans mon pc et je sens qu'ils ne sont pas pret de partir de sitot...

meme avira et malware byte les supprime mais ils reviennent toujours
il s'Agit de :
(PUM.UserWLoad)
(Trojan.Ransom)


quelqu'un a une idée de quoi il s'agit?


aussi j ai entendu parler d un virus hotmail depuis le 19 janvier. est-ce qu il est vraiment si dangereux?


merci


Configuration: Windows 7 / Internet Explorer 9.0

juju666 · Answer

Bonjour,

Poste ton rapport Malwarebytes :-)

aussi j ai entendu parler d un virus hotmail depuis le 19 janvier. est-ce qu il est vraiment si dangereux? 
Une source de l'info ? 

@+

L'frank · Answer

salut, j'ai mit la video sur youtube que j'Avais vu sur facebook ( cest du son seulement car cest a la radio). merci de ton aide a l'avance
http://www.youtube.com/watch?v=pYX24xIb2RA&feature=youtu.be




et voici le rapport:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.01.15.02

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
frank :: PC-DE-FRANK [administrateur]

2013-01-19 17:19:52
mbam-log-2013-01-19 (17-19-52).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 559972
Temps écoulé: 4 heure(s), 8 minute(s), 

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 17
HKCR\CLSID\{11111111-1111-1111-1111-110011431152} (PUP.CrossRider.CDD) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{44444444-4444-4444-4444-440044434452} (PUP.CrossRider.CDD) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{55555555-5555-5555-5555-550055435552} (PUP.CrossRider.CDD) -> Mis en quarantaine et supprimé avec succès.
HKCR\CrossriderApp0004352.BHO.1 (PUP.CrossRider.CDD) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110011431152} (PUP.CrossRider.CDD) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{11111111-1111-1111-1111-110011431152} (PUP.CrossRider.CDD) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{11111111-1111-1111-1111-110011431152} (PUP.CrossRider.CDD) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011431152} (PUP.CrossRider.CDD) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011431152} (PUP.CrossRider.CDD) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9} (PUP.Software.Updater) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{A0EE0278-2986-4E5A-884E-A3BF0357E476} (PUP.Software.Updater) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67} (PUP.Software.Updater) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96} (PUP.Software.Updater) -> Mis en quarantaine et supprimé avec succès.
HKCR\Updater.AmiUpd.1 (PUP.Software.Updater) -> Mis en quarantaine et supprimé avec succès.
HKCR\Updater.AmiUpd (PUP.Software.Updater) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CouponDropDown (PUP.CrossRider.CDD) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\INSTALLEDBROWSEREXTENSIONS\215 APPS (PUP.CrossFire.SA) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 3
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Données: C:\Users\frank\LOCALS~1\Temp\msqvbme.bat -> Suppression au redémarrage.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Données: C:\Users\frank\LOCALS~1\Temp\msqvbme.bat -> Suppression au redémarrage.
HKCU\Software\InstalledBrowserExtensions\215 Apps|4352 (PUP.CrossFire.SA) -> Données: CouponDropDown -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 2
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Mauvais: (C:\$Recycle.Bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888
.) Bon: (fastprox.dll) -> Mis en quarantaine et réparé avec succès
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Mauvais: (C:\$Recycle.Bin\S-1-5-21-1803846934-3440161179-392366268-1004\$ff24043d55f85ce9a20a8337d9b4b888
.) Bon: (shell32.dll) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 1
C:\Program Files\CouponDropDown (PUP.CrossRider.CDD) -> Suppression au redémarrage.

Fichier(s) détecté(s): 19
C:\Program Files\CouponDropDown\CouponDropDown.dll (PUP.CrossRider.CDD) -> Suppression au redémarrage.
C:\Users\frank\AppData\Local\SwvUpdater\Updater.exe (PUP.Software.Updater) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888
 (Trojan.0Access) -> Suppression au redémarrage.
C:\$Recycle.Bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U\00000001.@ (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U\80000000.@ (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U\800000cb.@ (Trojan.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-1803846934-3440161179-392366268-1004\$ff24043d55f85ce9a20a8337d9b4b888
 (Trojan.0Access) -> Suppression au redémarrage.
C:\Program Files\CouponDropDown\CouponDropDown-bg.exe (PUP.CrossRider.CDD) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\CouponDropDown\CouponDropDown.exe (PUP.CrossRider.CDD) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\CouponDropDown\Uninstall.exe (PUP.CrossRider.CDD) -> Mis en quarantaine et supprimé avec succès.
C:\Users\frank\AppData\Roaming\Ugzihy\agte.exe (Trojan.Vbcrypt.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Tasks\AmiUpdXp.job (PUP.Software.Updater) -> Mis en quarantaine et supprimé avec succès.
C:\Users\frank\AppData\Local\Temp\msiuwwh.bat (Trojan.Downloader.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\frank\AppData\Local\Temp\msqvbme.bat (Trojan.Downloader.Gen) -> Suppression au redémarrage.
C:\Program Files\CouponDropDown\CouponDropDown.ini (PUP.CrossRider.CDD) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\CouponDropDown\background.html (PUP.CrossRider.CDD) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\CouponDropDown\ButtonUtil.dll (PUP.CrossRider.CDD) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\CouponDropDown\CouponDropDown.ico (PUP.CrossRider.CDD) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\CouponDropDown\Installer.log (PUP.CrossRider.CDD) -> Mis en quarantaine et supprimé avec succès.

(fin)

juju666 · Answer

Bonjour,

En fait tu as (avais) plusieurs infections. ZeroAccess, des PUP, ...

Vérifions :

Télécharge RogueKiller
Lance-le.
Accepte l'EULA une fois le PreScan terminé.
Clique sur SCAN
Une fois terminé clique sur Rapport et poste le contenu de celui-ci.

==============================
Ensuite :

&#9654 Télécharge sur cette page: AdwCleaner (de Xplode) 

&#9654 Lance-le

clique sur Suppression et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

@+

L'frank · Answer

rebonjour, en effet il y a plus qu un virus detecter avec ce logiciel voici le premier rapport RogueKiller V8.4.3 [Jan 10 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : frank [Droits d'admin] Mode : Recherche -- Date : 20/01/2013 12:45:10 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 12 ¤¤¤ [SHELL][Rans.Gendarm] HKCU\[...]\Windows : Load (C:\Users\frank\LOCALS~1\Temp\msqvbme.bat) -> TROUVÉ [SHELL][Rans.Gendarm] HKUS\S-1-5-21-1803846934-3440161179-392366268-1004[...]\Windows : Load (C:\Users\frank\LOCALS~1\Temp\msqvbme.bat) -> TROUVÉ [TASK][SUSP PATH] Updater4352.exe : C:\Users\frank\AppData\Local\Updater4352\Updater4352.exe /extensionid=4352 /extensionname="CouponDropDown" /chromeid=fjkndgpgkiomekpgdaclpoecngmjonhe -> TROUVÉ [TASK][SUSP PATH] {69C110EE-4DAA-4AC8-9F3D-95379E671D72} : msiexec.exe /package "C:\Users\frank\Desktop\SteamInstall.msi" -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ [SHELLSPWN] HKCU\[...]\command : ("%1" %*) -> TROUVÉ [SHELLSPWN] HKUS\S-1-5-21-1803846934-3440161179-392366268-1004[...]\command : ("%1" %*) -> TROUVÉ [SHELLSPWN] HKCR\[...]\command : ("%1" %*) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\@ --> TROUVÉ [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-1803846934-3440161179-392366268-1004\$ff24043d55f85ce9a20a8337d9b4b888\@ --> TROUVÉ [ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U --> TROUVÉ [ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-1803846934-3440161179-392366268-1004\$ff24043d55f85ce9a20a8337d9b4b888\U --> TROUVÉ [ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\L --> TROUVÉ [ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-1803846934-3440161179-392366268-1004\$ff24043d55f85ce9a20a8337d9b4b888\L --> TROUVÉ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[84] : NtCreateSection @ 0x8304106D -> HOOKED (Unknown @ 0x91528076) SSDT[299] : NtRequestWaitReplyPort @ 0x8305BA63 -> HOOKED (Unknown @ 0x91528080) SSDT[316] : NtSetContextThread @ 0x830FB745 -> HOOKED (Unknown @ 0x9152807B) SSDT[347] : NtSetSecurityObject @ 0x8301F742 -> HOOKED (Unknown @ 0x91528085) SSDT[368] : NtSystemDebugControl @ 0x830A36BC -> HOOKED (Unknown @ 0x9152808A) SSDT[370] : NtTerminateProcess @ 0x83078BFB -> HOOKED (Unknown @ 0x91528017) S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x9152809E) S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x915280A3) ¤¤¤ Infection : ZeroAccess|Rans.Gendarm ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Hitachi HTS543225L9A300 ATA Device +++++ --- User --- [MBR] 3109bab517ee60631eb02d74869ee9a3 [BSP] 20830c7800f61d33e39c4c9189df0511 : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 228231 Mo 1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 467419136 | Size: 1025 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 469518704 | Size: 9218 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_20012013_124510.txt >> RKreport[1]_S_20012013_124510.txt

juju666 · Answer

OK.

Dans RogueKiller, décoche juste ceci :

[TASK][SUSP PATH] {69C110EE-4DAA-4AC8-9F3D-95379E671D72} : msiexec.exe /package "C:\Users\frank\Desktop\SteamInstall.msi" -> TROUVÉ

[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ

[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ

[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ  

Ensuite clique sur Suppression.
Poste le rapport.

L'frank · Answer

allo, voila le rapport. l'ordi commence a mieux aller lol. le cpu est pu toujours a 100% RogueKiller V8.4.3 [Jan 10 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : frank [Droits d'admin] Mode : Suppression -- Date : 20/01/2013 13:38:16 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 9 ¤¤¤ [SHELL][Rans.Gendarm] HKCU\[...]\Windows : Load (C:\Users\frank\LOCALS~1\Temp\msqvbme.bat) -> SUPPRIMÉ [TASK][SUSP PATH] Updater4352.exe : C:\Users\frank\AppData\Local\Updater4352\Updater4352.exe /extensionid=4352 /extensionname="CouponDropDown" /chromeid=fjkndgpgkiomekpgdaclpoecngmjonhe -> SUPPRIMÉ [TASK][SUSP PATH] {69C110EE-4DAA-4AC8-9F3D-95379E671D72} : msiexec.exe /package "C:\Users\frank\Desktop\SteamInstall.msi" -> NON SELECTIONNÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> NON SELECTIONNÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> NON SELECTIONNÉ [HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> NON SELECTIONNÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> NON SELECTIONNÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> NON SELECTIONNÉ [SHELLSPWN] HKCU\[...]\command : ("%1" %*) -> REMPLACÉ ("%1" %*) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\@ --> SUPPRIMÉ [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-1803846934-3440161179-392366268-1004\$ff24043d55f85ce9a20a8337d9b4b888\@ --> SUPPRIMÉ [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U --> SUPPRIMÉ [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-1803846934-3440161179-392366268-1004\$ff24043d55f85ce9a20a8337d9b4b888\U --> SUPPRIMÉ [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\L --> SUPPRIMÉ [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-1803846934-3440161179-392366268-1004\$ff24043d55f85ce9a20a8337d9b4b888\L --> SUPPRIMÉ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[84] : NtCreateSection @ 0x8302C06D -> HOOKED (Unknown @ 0x920C8616) SSDT[299] : NtRequestWaitReplyPort @ 0x83046A63 -> HOOKED (Unknown @ 0x920C8620) SSDT[316] : NtSetContextThread @ 0x830E6745 -> HOOKED (Unknown @ 0x920C861B) SSDT[347] : NtSetSecurityObject @ 0x8300A742 -> HOOKED (Unknown @ 0x920C8625) SSDT[368] : NtSystemDebugControl @ 0x8308E6BC -> HOOKED (Unknown @ 0x920C862A) SSDT[370] : NtTerminateProcess @ 0x83063BFB -> HOOKED (Unknown @ 0x920C85B7) S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x920C863E) S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x920C8643) ¤¤¤ Infection : ZeroAccess|Rans.Gendarm ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Hitachi HTS543225L9A300 ATA Device +++++ --- User --- [MBR] 3109bab517ee60631eb02d74869ee9a3 [BSP] 20830c7800f61d33e39c4c9189df0511 : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 228231 Mo 1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 467419136 | Size: 1025 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 469518704 | Size: 9218 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[3]_D_20012013_133816.txt >> RKreport[1]_S_20012013_124510.txt ; RKreport[2]_S_20012013_133341.txt ; RKreport[3]_D_20012013_133816.txt

juju666 · Answer

Redémarre le PC.

Relance un Scan avec RogueKiller et poste le rapport.

L'frank · Answer

bonsoir, voici: RogueKiller V8.4.3 [Jan 10 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : frank [Droits d'admin] Mode : Recherche -- Date : 20/01/2013 15:01:00 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 6 ¤¤¤ [TASK][SUSP PATH] {69C110EE-4DAA-4AC8-9F3D-95379E671D72} : msiexec.exe /package "C:\Users\frank\Desktop\SteamInstall.msi" -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[84] : NtCreateSection @ 0x8306306D -> HOOKED (Unknown @ 0x90EE8B56) SSDT[299] : NtRequestWaitReplyPort @ 0x8307DA63 -> HOOKED (Unknown @ 0x90EE8B60) SSDT[316] : NtSetContextThread @ 0x8311D745 -> HOOKED (Unknown @ 0x90EE8B5B) SSDT[347] : NtSetSecurityObject @ 0x83041742 -> HOOKED (Unknown @ 0x90EE8B65) SSDT[368] : NtSystemDebugControl @ 0x830C56BC -> HOOKED (Unknown @ 0x90EE8B6A) SSDT[370] : NtTerminateProcess @ 0x8309ABFB -> HOOKED (Unknown @ 0x90EE8AF7) S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x90EE8B7E) S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x90EE8B83) ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Hitachi HTS543225L9A300 ATA Device +++++ --- User --- [MBR] 3109bab517ee60631eb02d74869ee9a3 [BSP] 20830c7800f61d33e39c4c9189df0511 : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 228231 Mo 1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 467419136 | Size: 1025 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 469518704 | Size: 9218 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_20012013_150100.txt >> RKreport[1]_S_20012013_150100.txt

juju666 · Answer

Re,
OK.

Tu peux passer à AdwCleaner STP ? Voir : https://forums.commentcamarche.net/forum/affich-26948883-2-virus-tenaces-pum-userwload#3

@+

L'frank · Answer

# AdwCleaner v2.106 - Rapport créé le 20/01/2013 à 17:44:28
# Mis à jour le 17/01/2013 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (32 bits)
# Nom d'utilisateur : frank - PC-DE-FRANK
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\frank\Downloads\Programs\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16457

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v16.0.2 (fr)

Fichier : C:\Users\frank\AppData\Roaming\Mozilla\Firefox\Profiles\v80msxoo.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : C:\Users\frank2\AppData\Roaming\Mozilla\Firefox\Profiles\1eusvdk0.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : C:\Users\client\AppData\Roaming\Mozilla\Firefox\Profiles\5wsze1ko.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v24.0.1312.52

Fichier : C:\Users\frank\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : C:\Users\client\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [28377 octets] - [20/01/2013 12:49:14]
AdwCleaner[S1].txt - [28614 octets] - [20/01/2013 12:50:22]
AdwCleaner[S2].txt - [1672 octets] - [20/01/2013 17:44:29]

########## EOF - C:\AdwCleaner[S2].txt - [1732 octets] ##########

juju666 · Answer

Bonjour franck,

Relance Malwarebytes, mets-le à jour, fais un scan complet et poste son rapport.

@+

L'frank · Answer

ok je fais ca merci encore le scan va prendre au moins 4 heure comme hier. 

on se revoit donc dans 4 heure ou demain,

merci encore

juju666 · Answer

Pour moi ça sera demain, étant sur GMT+2 :)

L'frank · Answer

salut,Jespere que ta passer une bonne nuit. voila le rapport

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.01.15.02

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
frank :: PC-DE-FRANK [administrateur]

2013-01-20 18:04:33
mbam-log-2013-01-20 (18-04-33).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 519531
Temps écoulé: 3 heure(s), 23 minute(s), 54 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

juju666 · Answer

Hello,

Bah, j'ai connu mieux ! :-)

Super le final : https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

@+

L'frank · Answer

re,

je suis un peu déborder cette semaine je vais finaliser ca ce weekend. merci encore.


en generale apres d avoir suivit tout la procedure de nettaoyage finalement je te poste un nouveau rapport avec quel outil pour la confirmation que tout est ok?

juju666 · Answer

Bonjour,

Je n'attends plus qu'un rapport de Delfix :)

L'frank · Answer

salut, je sens encore quelques lags lorsque je game a des jeux


# DelFix v10.0 - Rapport créé le 01/02/2013 à 14:02:19
# Mis à jour le 04/01/2013 par Xplode
# Nom d'utilisateur : frank - PC-DE-FRANK

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\USBFix
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hijackthis
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files\Trend Micro\Hijackthis
Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\Ad-Report-CLEAN[2].txt
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\UsbFix.txt
Supprimé : C:\UsbFix_Upload_Me_PC-DE-FRANK.zip
Supprimée : HKCU\Software\Ad-Remover
Supprimée : HKCU\Software\USBFix
Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Supprimée : HKLM\SOFTWARE\OldTimer Tools
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

~ Sauvegarde de la base de registre ... OK

~ Purge de la restauration système ...

Supprimé : RP #185 [Windows Update | 12/03/2012 02:41:23]
Supprimé : RP #186 [Windows Update | 12/07/2012 21:18:30]
Supprimé : RP #187 [Windows Update | 12/12/2012 03:52:29]
Supprimé : RP #188 [Windows Update | 12/12/2012 04:05:17]
Supprimé : RP #189 [Windows Update | 12/13/2012 12:35:45]
Supprimé : RP #190 [Installation du package de pilotes : Anchorfree Inc Service réseau | 12/17/2012 04:35:58]
Supprimé : RP #191 [Installation du package de pilotes : Anchorfree HSS VPN Adapter Cartes réseau | 12/17/2012 04:37:37]
Supprimé : RP #192 [Windows Update | 12/18/2012 16:31:46]
Supprimé : RP #193 [Windows Update | 01/08/2013 05:53:45]
Supprimé : RP #194 [Windows Update | 01/09/2013 12:40:27]
Supprimé : RP #195 [Installation du package de pilotes : Anchorfree HSS VPN Adapter Cartes réseau | 01/10/2013 00:07:31]
Supprimé : RP #196 [Installation du package de pilotes : Anchorfree Inc Service réseau | 01/10/2013 00:09:00]
Supprimé : RP #197 [Windows Update | 01/15/2013 20:42:23]
Supprimé : RP #198 [Installation du package de pilotes : Anchorfree HSS VPN Adapter Cartes réseau | 01/17/2013 04:30:17]
Supprimé : RP #199 [Installation du package de pilotes : Anchorfree Inc Service réseau | 01/17/2013 04:31:49]
Supprimé : RP #200 [Windows Update | 01/18/2013 22:12:24]
Supprimé : RP #201 [Installed Java 7 Update 11 | 01/20/2013 05:23:01]
Supprimé : RP #202 [Installation du package de pilotes : Anchorfree Inc Service réseau | 01/21/2013 02:42:15]
Supprimé : RP #203 [Removed Java(TM) 6 Update 29 | 01/22/2013 22:45:16]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########

juju666 · Answer

Salut,

Niveau malware c'est clean maintenant ...

L'frank · Answer

ok. je met topic resolut merci de ton aide, ca la nettoyer beaucoup mon laptop!. 

edit: je sais pas comment lol

eloit · Answer

j'ai le meme probléme j'aimerais que vous m'aider a intépreter mon rapport roguekiller : RogueKiller V8.8.15 [Mar 27 2014] par Adlice Software mail : https://www.adlice.com/contact/ Remontees : https://forum.adlice.com/ Site Web : http://www.surlatoile.org/RogueKiller/ Blog : https://www.adlice.com/ Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode sans echec Utilisateur : Administrateur [Droits d'admin] Mode : Recherche -- Date : 05/19/2014 20:41:01 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 1 ¤¤¤ [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Addons navigateur : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE 0x2] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ -> D:\windows\system32\config\SYSTEM | DRVINFO [Drv - D:] | SYSTEMINFO [Sys - D:] [Sys32 - FOUND] | USERINFO [Startup - FOUND] -> D:\windows\system32\config\SOFTWARE | DRVINFO [Drv - D:] | SYSTEMINFO [Sys - D:] [Sys32 - FOUND] | USERINFO [Startup - FOUND] -> D:\windows\system32\config\SECURITY | DRVINFO [Drv - D:] | SYSTEMINFO [Sys - D:] [Sys32 - FOUND] | USERINFO [Startup - FOUND] -> D:\Documents and Settings\Default User\NTUSER.DAT | DRVINFO [Drv - D:] | SYSTEMINFO [Sys - D:] [Sys32 - FOUND] | USERINFO [Startup - FOUND] -> D:\Documents and Settings\it\NTUSER.DAT | DRVINFO [Drv - D:] | SYSTEMINFO [Sys - D:] [Sys32 - FOUND] | USERINFO [Startup - FOUND] -> D:\Documents and Settings\LocalService\NTUSER.DAT | DRVINFO [Drv - D:] | SYSTEMINFO [Sys - D:] [Sys32 - FOUND] | USERINFO [Startup - FOUND] -> D:\Documents and Settings\NetworkService\NTUSER.DAT | DRVINFO [Drv - D:] | SYSTEMINFO [Sys - D:] [Sys32 - FOUND] | USERINFO [Startup - FOUND] ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: (\.\PHYSICALDRIVE0 @ IDE) WDC WD1600BB-22GUC0 +++++ --- User --- [MBR] 706b2116403af585e2cc5ded9642e794 [BSP] a8ee1826a04e4917964e5068fd357be2 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 49999 MB 1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 102398310 | Size: 102618 MB User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: (\.\PHYSICALDRIVE1 @ IDE) ST3320418AS +++++ --- User --- [MBR] f2827e471ded6b27ff6c3345288d18b4 [BSP] e3e90230f413f125aef5426f641e4bd1 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 49999 MB 1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 102398310 | Size: 255235 MB User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_S_05192014_204100.txt >> RKreport[0]_D_05152014_124252.txt;RKreport[0]_S_05152014_123116.txt;RKreport[0]_S_05152014_124336.txt RKreport[0]_S_05152014_125703.txt;RKreport[0]_S_05152014_125825.txt Merci d'avance.

juju666 · Answer

Salut,

Elabore un diagnostic avec OTL stp :

&#9654 Télécharge ici :OTL

&#9654 Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

&#9654 Clique ici pour voir la configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys 
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig 
netsvcs 
BASESERVICES
safebootminimal
safebootnetwork 
CREATERESTOREPOINT
SAVEMBR:0
HKLM\Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
HKLM\Software\Clients\StartMenuInternet\Google Chrome\shell\open\command
dir "%Homedrive%\*" /S /A:L /C 

&#9654 Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange  

NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC 
 
A+

2 virus tenaces PUM.UserWLoad

22 réponses

Discussions similaires