Bilan viral d'un pc ( besoin d'un VRAI helper)

Salut jacques
ca faisait longtemps :p

C'est sur windows vista et ma formation a été mis en atente depuis 6 mois donc désolé d'avoir perdu les bons reflexes :p

je te donne le ZHP très vite

merci d'avance

Hello vous deux
daftcrack tu es en de très bonnes mains crois moi :)

Oui je sais aurélie , merci ;) mais depuis 6 mois je ne me suis pas re-pencher sur ma formation donc j'ai perdu beaucoup de reflexes ^^
et je ne suis plus dans l'actualité "virale" donc c'est pour cela que je demande l'aide d'un VRAI helper ( comme jacques que je connais depuis longtemps) car de plus , certain sur CCM se prennent pour des super helper alors qu'ils ne valent pas le niveau débutant de HF :p

Mais t'inquiètes pas jacques est très compétent

Ps je viens de jeter un coup d'oeil au rapport et je suis ébahie pas moins de 104 lignes infectieuses :o

oui je le sais que jacques est très compétent :p ( je le connaissais deja avant que tu commences ta formation :p)

bon tu fais se qui suit un zhpfix avec toutes les merd!! et en plus des chose qui trainanit de avast et mc afee et de avg !!! pas bien nettoyer le pc ???

1) fais zhpfiax comme expliqué prend le temps de lire la procédure avant de lancer !!

. Copie les lignes suivantes en GRAS




SysRestore
M3 - MFPP: Plugins - [popodany] -- C:\Users\popodany\AppData\Roaming\Mozilla\Firefox\Profiles\dkvx1kyt.default\searchplugins\SearchquWebSearch.xml
M3 - MFPP: Plugins - [popodany] -- C:\Program Files\Mozilla FireFox\searchplugins\SearchquWebSearch.xml
R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0
O3 - Toolbar: (no name) - [HKLM]{99079a25-328f-4bd4-be04-00955acaa0a7} Clé orpheline
[HKCU\Software\AppDataLow\Software\PriceGong]
[HKCU\Software\AppDataLow\Software\searchqutoolbar]
[HKCU\Software\Datamngr]
[HKCU\Software\LanConfig]
[HKCU\Software\ilivid]
[HKLM\Software\Bandoo]
O43 - CFD: 13/03/2011 - 11:18:08 - [0,062] ----D C:\Program Files\Spyware-Secure
O43 - CFD: 07/08/2011 - 18:11:44 - [0,020] ----D C:\Users\popodany\AppData\Roaming\EoRezo
O43 - CFD: 29/05/2011 - 02:09:44 - [0,013] ----D C:\Users\popodany\AppData\Local\Ilivid Player
O59 - HSMI:Heuristic Search MagicControl Infection - (...) -- C:\Users\popodany\AppData\Local\kfdspe_nav.dat
O59 - HSMI:Heuristic Search MagicControl Infection - (...) -- C:\Users\popodany\AppData\Local\kfdspe_navps.dat
O69 - SBI: SearchScopes [HKCU] {8A96AF9E-4074-43b7-BEA3-87217BDA7406} [DefaultScope] - (Web Search) - http://www.searchnu.com/
O69 - SBI: SearchScopes [HKCU] {C65948AC-CC03-444E-B475-D605057F783B} - (AVG Secure Search) - https://search.avg.com/
[MD5.B0BF37B13E4907F927AE81D39A381C2C] [SPRF][03/02/2010] (...) -- C:\Users\popodany\AppData\Local\kfdspe_nav.dat [332635]
[MD5.70355C0062263BFE7FB41F9F9E48DB3C] [SPRF][15/02/2010] (...) -- C:\Users\popodany\AppData\Local\kfdspe_navps.dat [4034]
[HKLM\Software\Classes\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}]
[HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF]
[HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF]
[HKLM\Software\Classes\AppID\{1301a8a5-3dfb-4731-a162-b357d00c9644}]
[HKLM\Software\Classes\CLSID\{27f69c85-64e1-43ce-98b5-3c9f22fb408e}]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624f4-c5dd-4e1d-bdd0-1e9c9b7799cc}]
[HKLM\Software\Classes\Interface\{477f210a-2a86-4666-9c4b-1189634d2c84}]
[HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7406}]
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7406}]
[HKLM\Software\Classes\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079A25-328F-4BD4-BE04-00955ACAA0A7}]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9c8a3ca5-889e-4554-beec-ec0876e4e96a}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}]
[HKLM\Software\Classes\CLSID\{B543EF05-9758-464E-9F37-4C28525B4A4C}]
[HKLM\Software\Classes\CLSID\{bb76a90b-2b4c-4378-8506-9a2b6e16943c}]
[HKLM\Software\Classes\CLSID\{C3AB94A4-BFD0-4BBA-A331-DE504F07D2DB}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f9189560-573a-4fde-b055-ae7b0f4cf080}]
[HKLM\Software\Classes\Interface\{ff871e51-2655-4d06-aed5-745962a96b32}]
[HKLM\Software\Classes\AppID\bandoocore.exe]
[HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\62119ef862c6b3a0d853419b87eb3e2f6c78640a]
[HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\7ee743314c844c7f445b8b1d7617612df1fdd50f]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9]
[HKCU\Software\DataMngr]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{02478D38-C3F9-4EFB-9B51-7695ECA05670}]
[HKLM\Software\Classes\CLSID\{02478D38-C3F9-4EFB-9B51-7695ECA05670}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C8A3CA5-889E-4554-BEEC-EC0876E4E96A}]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7F000001-DB8E-F89C-2FEC-49BF726F8C12}]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F9189560-573A-4FDE-B055-AE7B0F4CF080}]
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624F4-C5DD-4E1D-BDD0-1E9C9B7799CC}]
[HKLM\Software\Classes\Interface\{FF871E51-2655-4D06-AED5-745962A96B32}]
[HKLM\Software\Classes\CLSID\{27F69C85-64E1-43CE-98B5-3C9F22FB408E}]
[HKLM\Software\Classes\CLSID\{BB76A90B-2B4C-4378-8506-9A2B6E16943C}]
[HKLM\Software\Classes\Interface\{477F210A-2A86-4666-9C4B-1189634D2C84}]
[HKLM\Software\Classes\BandooCore.BandooCore]
[HKLM\Software\Classes\BandooCore.BandooCore.1]
[HKLM\Software\Classes\BandooCore.ResourcesMngr]
[HKLM\Software\Classes\BandooCore.ResourcesMngr.1]
[HKLM\Software\Classes\BandooCore.SettingsMngr]
[HKLM\Software\Classes\BandooCore.SettingsMngr.1]
[HKLM\Software\Classes\BandooCore.StatisticMngr]
[HKLM\Software\Classes\BandooCore.StatisticMngr.1]
[HKLM\Software\Classes\AppID\BandooCore.EXE]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{99079A25-328F-4BD4-BE04-00955ACAA0A7}
[HKCU\Software\AVAST Software]
[HKLM\Software\AVAST Software]
[HKLM\Software\McAfee.com]
C:\Program Files\spyware-secure
C:\Users\popodany\AppData\Roaming\EoRezo
C:\Users\popodany\AppData\LocalLow\PriceGong
C:\Users\popodany\AppData\LocalLow\searchquband
C:\Program Files\Mozilla Firefox\searchplugins\SearchquWebSearch.xml
C:\Users\popodany\AppData\Roaming\Mozilla\Firefox\Profiles\dkvx1kyt.default\SearchPlugins\SearchquWebSearch.xml
c:\users\popodany\appdata\local\kfdspe_nav.dat
c:\users\popodany\appdata\local\kfdspe_navps.dat
C:\Program Files\AVAST Software
C:\ProgramData\AVG10
C:\ProgramData\avg9
C:\Users\popodany\AppData\Roaming\AVG10
C:\Users\popodany\AppData\LocalLow\AVG Security Toolbar
C:\ProgramData\McAfee
C:\ProgramData\AVAST Software
C:\Program Files\Alwil Software
C:\ProgramData\McAfee Security Scan
FirewallRAZ
EmptyFlash
EmptyTemp





. Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau

. double-clique sur ZHPFix


Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

si c'est pas le cas: Clique sur gauche sur l'icone du millieu (« coller le presse papier »)

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.



!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!



. cliques sur GO confirmes le nettoyage !!

si sous vista ou seven tu auras une demande de confirmation de UAC confime par oui la fenêtre reviendra au départ reclique sur GO

. Copie/colle la totalité du rapport dans ta prochaine réponse
tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

tuto si besoin merci saachaa !!




2) passes pré scan

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

http://www.archive-host.com (renommé winlogon)

ou

http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)


si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.archive-host.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider



3) fais un examen complet de ton pc avec malwarebytes

tu as malwarebytes sur ton pc donc pas la peine de le télécharger mais surtout le mettre à jour !!

. Utilisateur de Vista et Windows 7 : Clique droit sur lMalwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Une fois la mise à jour terminée
. rend-toi dans l'onglet, Recherche

. Sélectionnes Exécuter un examen complet

. Sélectionnes tous les disques si proposés
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc si il le fait pas lui même
. une fois redémarré double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller





4) donnes des nouvelles du pc et de tes problèmes et postes un nouveau zhpdiag en cochant tous au tournevis


Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

coches tous au tournevis http://sd-4.archive-host.com/membres/up/89820622056365782/zhpdiag_tournevis_.jpg

Cliques sur la loupe pour lancer l'analyse.

si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

Laisses l'outil travailler, il peut être assez long

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


Fermes ZHPDiag en fin d'analyse.


Pour me le transmettre clique sur ce lien :

https://www.cjoint.com/


Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://cjoint.com/data/0KAoeRbq7Szgg.htm

est ajouté dans la page.

Copie ce lien dans ta réponse.


et si problème passe par celui ci : http://pjjoint.malekal.com/

j'ai eut un bluescreen en faisant ZhpFix : pas de rapport au chemin c:\ ni sur le bureau
prescan je ne fais pas ( désolé raison personnelle)

que puis-je faire d'autre ?

pourquoi cela prescan je ne fais pas ( désolé raison personnelle)

un bluescreen en faisant ZhpFix !! c'est pas normal !!! fais au moins malwarebytes et perso je passerais combofix , mais la aussi tua s surement pas confiance , donc la solution tu formate comme ceal si pas de virut sur le pc plus de problème bon @+ reprend ta formartion comme ceal tu pourras te débrouiller tous seul !!

une fois j'ai du formater mon pc

a cause de pre-scan:

copies le texte de zhpfix dans un document sur ton bureau et fais zhpfix en mode sans echec !!

et puis il y avait malwarebytes de demandé !!!

malware bytes tourne depuis 50 minutes et il trouve rien pour l'instant ( j'attend la fin ;) )

et le zhpfix je le ferais demain

a demain et merci a toi

Zut , en fait c'est long à supprimer car MBAM ne répond plus

que faire ?

edit : j'ai rien dit , tout s'est bien passé :D

voici le rapport :

Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.02.13.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.19120
popodany :: PC-DE-POPODANY [administrateur]

Protection: Activé

13/02/2013 17:59:17
mbam-log-2013-02-13 (17-59-17).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 390787
Temps écoulé: 1 heure(s), 58 minute(s), 8 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 5
C:\Program Files\Spyware-Secure (Rogue.SpywareSecure) -> Mis en quarantaine et supprimé avec succès.
C:\Users\popodany\AppData\Roaming\EoRezo (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\popodany\AppData\Roaming\EoRezo\db (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\popodany\AppData\Roaming\EoRezo\eoDesktop (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\popodany\AppData\Roaming\EoRezo\eoStats (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 9
C:\Users\popodany\AppData\Roaming\EoRezo\cache (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\popodany\AppData\Roaming\EoRezo\cmhost.cyp (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\popodany\AppData\Roaming\EoRezo\ConfMedia.cyp (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\popodany\AppData\Roaming\EoRezo\host.cyp (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\popodany\AppData\Roaming\EoRezo\user.cyp (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\popodany\AppData\Roaming\EoRezo\db\cat.cyp (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\popodany\AppData\Roaming\EoRezo\eoDesktop\config.xml (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\popodany\AppData\Roaming\EoRezo\eoDesktop\eoDesktop.html (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.
C:\Users\popodany\AppData\Roaming\EoRezo\eoDesktop\userConfig.xml (Adware.EoRezo) -> Mis en quarantaine et supprimé avec succès.

(fin)

je fais le zhpfix en mode sans echec , a toute

lol ^^

quoi ? ^^

bon comment va ton pc ??

Alors le pc va toujours nickel merci jacques

le seul hic c'est le probleme de MAJ windows

padawan :

utilise l'outil de biscuit pour remettre en état windows update ;)