Ordinateur infecté par virus IhavenetFermé

Question

Bonjour, 

Des pages de pub intempestives s'affichent lorsque j'effectue une recherche avec Google. Cela fait environ 15 jours. Au départ, c'était peu fréquent mais ça devient maintenant quasi systématique. L'adresse ihavenet s'affiche dans la barre de recherche avant l'ouverture des pages de pub intempestives. Mes connaissances en informatique étant assez minimes, un coup de main serait vraiment le bienvenu pour m'aider à me débarrasser de ce virus. Par avance, merci à tous.

Franck



Configuration: Windows XP / Firefox 19.0

Utilisateur anonyme · Answer

Bonsoir

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes


@+

adribolognaise · Answer

Bonsoir , 
fais une analyse complete du système avec ton anti-virus et telecharge malwarebytes anti-malware https://download.cnet.com/malwarebytes-anti-malware/windows.html?part=dl-10804572&subj=dl&tag=button installe le recherche les mises à jour puis fais une analyse complete une fois la mise à jour de celui ci terminer :)

franc.k9 · Answer

Bonsoir Guillaume, 

Merci beaucoup pour ton aide. Je te poste ci-dessous le compte-rendu du scan combofix:

ComboFix 13-04-02.01 - FRANCK 03/04/2013  21:48:26.1.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.767.399 [GMT 2:00]
Lancé depuis: c:\documents and settings\FRANCK\Mes documents\TÚlÚchargements\asdehi.exe
AV: avast! Antivirus *Enabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\Vivie\Local Settings\Application Data\assembly	mp
c:\windows\system32\ijl11.dll
c:\windows\system32\images
c:\windows\system32\images\+ DOSSIER UTILISE PAR LE PROGRAMME 'ENREGISTREZ SOUS EDITEUR'
c:\windows\system32\images\1.ico
c:\windows\system32\images\2.ico
c:\windows\system32\images\3.ico
c:\windows\system32\images\4.ico
c:\windows\system32\images\5.ico
c:\windows\system32\images\Flèche bas.ico
c:\windows\system32\images\Flèche haut.ico
c:\windows\system32\LANG\ENGLISH.LNG
c:\windows\system32\muzapp.exe
c:\windows\system32\URTTemp
c:\windows\system32\URTTempegtlib.exe
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2013-03-03 au 2013-04-03  ))))))))))))))))))))))))))))))))))))
.
.
2013-04-03 19:34 . 2013-04-03 19:34	--------	d-----w-	c:\documents and settings\All Users\Favoris
2013-03-22 16:43 . 2012-12-14 15:49	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-03-22 12:22 . 2013-03-06 23:33	29816	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2013-03-22 12:22 . 2013-03-06 23:33	49760	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2013-03-22 12:22 . 2013-03-06 23:33	368176	----a-w-	c:\windows\system32\drivers\aswSP.sys
2013-03-22 12:22 . 2013-03-06 23:33	62376	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2013-03-22 12:22 . 2013-03-06 23:33	765736	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2013-03-22 12:22 . 2013-03-06 23:33	49248	----a-w-	c:\windows\system32\drivers\aswRvrt.sys
2013-03-22 12:22 . 2013-03-06 23:33	164736	----a-w-	c:\windows\system32\drivers\aswVmm.sys
2013-03-22 12:22 . 2013-03-06 23:33	66336	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2013-03-22 12:22 . 2013-03-06 23:32	228600	----a-w-	c:\windows\system32\aswBoot.exe
2013-03-22 12:21 . 2013-03-06 23:32	41664	----a-w-	c:\windows\avastSS.scr
2013-03-22 12:07 . 2013-03-22 12:07	--------	d-sh--w-	c:\documents and settings\FRANCK\IECompatCache
2013-03-20 09:16 . 2013-03-20 09:16	--------	d-----w-	c:\documents and settings\FRANCK\Application Data\Orange
2013-03-20 09:16 . 2013-03-20 09:16	--------	d-sh--w-	c:\documents and settings\FRANCK\PrivacIE
2013-03-19 14:46 . 2013-03-19 14:46	98304	--sha-r-	c:\windows\system32\w32timek.dll
2013-03-15 16:49 . 2013-03-15 16:49	1409	----a-w-	c:\windows\QTFont.for
2013-03-07 08:21 . 2013-03-07 08:20	143872	----a-w-	c:\windows\system32\javacpl.cpl
2013-03-07 08:21 . 2013-03-07 08:20	94112	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-13 18:58 . 2012-05-24 05:13	693976	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-03-13 18:58 . 2012-05-24 05:13	73432	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-03-07 08:20 . 2012-05-14 19:18	782240	----a-w-	c:\windows\system32\deployJava1.dll
2013-03-07 08:20 . 2012-05-14 19:18	861088	----a-w-	c:\windows\system32
pDeployJava1.dll
2013-02-12 00:32 . 2009-05-25 10:56	12928	------w-	c:\windows\system32\drivers\usb8023x.sys
2013-02-12 00:32 . 2004-08-04 00:04	12928	----a-w-	c:\windows\system32\drivers\usb8023.sys
2013-01-30 10:53 . 2012-04-27 16:34	232336	------w-	c:\windows\system32\MpSigStub.exe
2013-01-26 03:55 . 2004-08-19 17:09	552448	----a-w-	c:\windows\system32\oleaut32.dll
2013-01-07 07:24 . 2005-03-02 10:13	2071808	----a-w-	c:\windows\system32
tkrnlpa.exe
2013-01-07 07:24 . 2006-12-13 12:48	2195072	----a-w-	c:\windows\system32
toskrnl.exe
2013-01-04 10:09 . 2006-12-13 12:49	1867392	----a-w-	c:\windows\system32\win32k.sys
2013-03-08 11:40 . 2013-03-08 11:38	263064	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2013-03-06 23:32	121968	----a-w-	c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-20 7581696]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-06-29 286720]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2012-07-03 252848]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2013-03-06 4767304]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"OrangePlayer"="c:\program files\orange\media player\Media Player.exe" [2009-02-16 319488]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 0 (0x0)
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Acer Empowering Technology.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Acer Empowering Technology.lnk
backup=c:\windows\pss\Acer Empowering Technology.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2007-06-29 04:24	286720	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3 (0x3)
"MDM"=2 (0x2)
"ICDSPTSV"=3 (0x3)
"gusvc"=3 (0x3)
"AcerMemUsageCheckService"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\WINDOWS\system32\sessmgr.exe"=
"c:\WINDOWS\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Sony Ericsson\Sony Ericsson Media Manager 1.0\MediaManager.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\eMule\emule.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Orange\OrangeUpdate\Service\OUCore.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
.
R0 aswRvrt;aswRvrt;c:\windows\system32\drivers\aswRvrt.sys [22/03/2013 14:22 49248]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [22/03/2013 14:22 765736]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [22/03/2013 14:22 368176]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [22/03/2013 14:22 29816]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [22/03/2013 14:22 66336]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [22/03/2013 18:43 21104]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [15/07/2010 13:18 27632]
S3 aswVmm;aswVmm;c:\windows\system32\drivers\aswVmm.sys [22/03/2013 14:22 164736]
S3 ICDUSB2;Sony IC Recorder (P);c:\windows\system32\drivers\IcdUsb2.sys [30/09/2008 20:22 39048]
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-04-02 11:28	1642448	----a-w-	c:\program files\Google\Chrome\Application\26.0.1410.43\Installer\chrmstp.exe
.
Contenu du dossier 'Tâches planifiées'
.
2013-04-03 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-05-24 18:58]
.
2013-03-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]
.
2013-04-03 c:\windows\Tasks\avast! Emergency Update.job
- c:\program files\AVAST Software\Avast\AvastEmUpdate.exe [2013-03-22 23:32]
.
2013-04-01 c:\windows\Tasks\backup.job
- c:\windows\system32
tbackup.exe [2004-08-19 02:34]
.
2013-04-03 c:\windows\Tasks\bdxxuz.job
- c:\windows\system32\w32timek.dll [2013-03-19 14:46]
.
2013-04-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-05-01 08:11]
.
2013-04-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-05-01 08:11]
.
2013-04-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-220523388-725345543-1003Core.job
- c:\documents and settings\Vivie\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-03-29 12:08]
.
2013-04-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-220523388-725345543-1003UA.job
- c:\documents and settings\Vivie\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-03-29 12:08]
.
.
------- Examen supplémentaire -------
.
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\FRANCK\Application Data\Mozilla\Firefox\Profiles\8psagml5.default\
FF - ExtSQL: 2013-03-19 18:31; {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}; c:\documents and settings\FRANCK\Application Data\Mozilla\Firefox\Profiles\8psagml5.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
FF - ExtSQL: 2013-03-22 13:21; wrc@avast.com; c:\program files\AVAST Software\Avast\WebRep\FF
.
- - - - ORPHELINS SUPPRIMES - - - -
.
ShellIconOverlayIdentifiers-{FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDA-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDB-A251-47B7-93E1-CDD82E34AF8B} - (no file)
MSConfigStartUp-Sony Ericsson PC Suite - c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
AddRemove-kpbrecae - c:\documents and settings\vivie\local settings\application data\kpbrecae.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2013-04-03 21:58
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\*-€|ÿÿÿÿ;*€|é*9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
Heure de fin: 2013-04-03  22:00:35
ComboFix-quarantined-files.txt  2013-04-03 20:00
.
Avant-CF: 3 636 924 416 octets libres
Après-CF: 3 869 622 272 octets libres
.
- - End Of File - - 7E75A92A6A678FDBE94184A71875F17F

Encore merci!! 

Franck

Utilisateur anonyme · Answer

Re

Inscris toi avant tout  

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, 

Double-clique sur l'icône pour lancer le programme.  Sous Vista ; Seven ou Windows 8 clic droit «  exécuter en tant que administrateur » 

 
Clique sur  la loupe avec le signe +   pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien: 
http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload 
 https://www.cjoint.com/


Regarde sur le bureau
 
Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

@+

franc.k9 · Answer

Bonsoir Guillaume5188,

Ci-joint le lien contenant le rapport du scan ZHPDiag que je viens d'effectuer sur mon ordi comme conseillé: https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130404_b7q5g6c8x9

Petite question dois-je désinstaller combofix et ZHPDiag après utilisation?

Je te laisse me guider pour la suite de la procédure de désinfection.

Merci beaucoup!!!

Virginie

franc.k9 · Answer

Re Guillaume5188, 

Je suis la femme de Franck, Virginie, et je prends la suite pour l'ordi. Merci pour ton aide!!!

Virginie et Franck

Utilisateur anonyme · Answer

Re 

 Ccleaner :    

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ 

.enregistres le sur le bureau   
.double-cliques sur le fichier pour lancer l'installation   
.sur la fenêtre de l'installation langage bien choisir français et OK  
.cliques sur <gras>suivant   
.lis la licence et j'accepte   
.cliques sur suivant  
.la tu ne gardes de coché que mettre un raccourci sur le bureau  et puis contrôler automatiquement les mises à jour de Ccleaner  
.cliques sur installer  
.cliques sur fermer   
.double-cliques ou clic droit sous Vista ;Seven et Windows 8 sur l'icône  de Ccleaner pour l'ouvrir  
va dans Outils > Démarrage > Tâches planifiées.  

Donne-moi le nom et l'emplacement du fichier liés à la tâche "backup" et "bdxxuz"  

Merci 
  
 @+ 
           --------Contributeur Sécurité--------- 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

Ordinateur infecté par virus Ihavenet

7 réponses

Discussions similaires

Newsletters