Besoin d'aide contre virus Virtool:Obfuscator.xz Résolu/Fermé

Question

Bonjour à tous...

    je recherche de l'aide pour m'assurer que le virus obfuscator.xz est bien effacé de mon ordinateur.  Après avoir chercher les solutions sur certains forums...je comprends que ce virus est sournois et que même ses traces doivent être prises au sérieux.

J'ai donc effacé le fichier problématique et ses dossiers...pour ensuite analyser mon ordinateur avec malwarebytes antimalwares. J'ai ensuite effacé la trentaine d'éléments détectés. Par la suite, j'ai analysé avec adwcleaner(xplode) et effacé les quelques résultats détectés.  Pour la suite...ne sachant pas si ces nettoyages sont suffisants, je crois avoir besoin d'un avis d'un gentil samaritain averti :)  

J'ai windows 8, donc je ne sais pas si zhpdiag marcherait puisqu'il n'est pas dans les fureteurs compatible(selon le site de zhpdiag)

N'hésitez pas s'il vous manque des infos.

Rapports de mbam et adwcleaner sur demande

merci a l'avance pour votre aide!!!

Smart91 · Answer

Bonjour,

J'ai vu ton MP

As-tu téléchargé un cr@ck pour utiliser gratuitement un programmes ou un jeu payant ?

Poste les rapports MBAM et AdwCleaner 

Smart

Frings · Answer

Pour le rapport de adwcleaner...je le chercher présentement...

j'ai 'déja supprimé adw cleaner comme mentionné sur leur site mais j'imagine que le rapport est ailleurs

Frings · Answer

je viens de voir qu'il est supposé être dans c:/adwcleaner(s1).txt

mais je n'ai pas ce chemin ...

Frings · Answer

Bon affreusement désolé ....je n'arrive pas à le trouver , est-ce possible qu'il se soit effacé en même temps que le programme ?!

Frings · Answer

Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.04.07.06

Windows 8 x64 NTFS
Internet Explorer 10.0.9200.16519
Francois :: Q-BERT [administrateur]

Protection: Activé

2013-04-07 12:28:05
mbam-log-2013-04-07 (12-28-05).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 467986
Temps écoulé: 56 minute(s), 3 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 34
HKCR\CLSID\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\funmoods.funmoodsHlpr.1 (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\funmoods.funmoodsHlpr (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{75A4D144-506D-4BE5-81DB-EC7DA1E7F840} (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{960DF771-CFCB-4E53-A5B5-6EF2BBE6E706} (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\esrv.funmoodsESrvc.1 (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\esrv.funmoodsESrvc (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{965B9DBE-B104-44AC-950A-8A5F97AFF439} (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\escort.escortIEPane.1 (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\escort.escortIEPane (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921} (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\funmoods.dskBnd.1 (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\funmoods.dskBnd (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{A9DB719C-7156-415E-B49D-BAD039DE4F13} (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800} (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\funmoodsApp.appCore.1 (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\funmoodsApp.appCore (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{F03FD9D0-4F2B-497C-8A71-DD41D70B07D9} (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\f (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\Typelib\{1D085C0A-E4F4-4F66-BDBF-4BE51015BFC3} (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{0D80F1C5-D17B-4177-AC68-955F3EF9F191} (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C87FC351-A80D-43E9-9A86-CF1E29DC443A} (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Funmoods (PUP.FunMoods) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\InstallCore\funmoods (PUP.FunMoods) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\Google\Chrome\Extensions\bbjciahceamgodcoidkjpchnokgfpphh (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Google\Chrome\Extensions\bbjciahceamgodcoidkjpchnokgfpphh (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\InstallCore\funmoods (PUP.FunMoods) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\funmoods (PUP.FunMoods) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Données: Funmoods Toolbar -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Données:  -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 5
C:\Users\Francois\AppData\LocalLow\Funmoods (PUP.FunMoods) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Francois\AppData\LocalLow\Funmoods\Funmoods (PUP.FunMoods) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Funmoods (PUP.FunMoods) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Funmoods\1.5.23.22 (PUP.FunMoods) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Funmoods\1.5.23.22\bh (PUP.FunMoods) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 12
C:\Program Files (x86)\Funmoods\1.5.23.22\bh\escort.dll (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Funmoods\1.5.23.22\funmoodssrv.exe (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Funmoods\1.5.23.22\escorTlbr.dll (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Funmoods\1.5.23.22\escortApp.dll (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Funmoods\1.5.23.22\escortEng.dll (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Francois\AppData\Local\funmoods.crx (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Francois\Local Settings\Application Data\funmoods.crx (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Funmoods\1.5.23.22\escortShld.dll (PUP.FunMoods) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Funmoods\1.5.23.22\FavIcon.ico (PUP.FunMoods) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Funmoods\1.5.23.22\Sqlite3.dll (PUP.FunMoods) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Funmoods\1.5.23.22\uninst.dat (PUP.FunMoods) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Funmoods\1.5.23.22\uninstall.exe (PUP.FunMoods) -> Mis en quarantaine et supprimé avec succès.

(fin)

Smart91 · Answer

Hé bien si le chemin tu l'as:
c:/adwcleaner(s1).txt 

Cela veut dire que le fichier se trouve à la racine du disque C:
et le nom du fichier est AdwCleaner[S1]

Smart

Frings · Answer

J'ai trouvé le chemin sur un autre poste...mais je ne le vois pas ...y'a aussi un problème concernant mes réponses...elles sont en rouges au lieu d'en bleu.... as tu recus mon rapport mbma?

Frings · Answer

voici le rapport récent à défault d'avoir le précédent, dans lequel il y avait quelques éléments détectés...probablement effacé automatiquement en même temps que la désinstallation de adwcleaner...et si cette option est impossible, je ne pourrais dire ce qui s'est passé :(

alors bonne nuit et merci encore pour ton aide 

# AdwCleaner v2.200 - Rapport créé le 09/04/2013 à 21:24:25
# Mis à jour le 02/04/2013 par Xplode
# Système d'exploitation : Windows 8  (64 bits)
# Nom d'utilisateur : Francois - Q-BERT
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Francois\Downloads\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\ Internet Explorer v10.0.9200.16519

[OK] Le registre ne contient aucune entrée illégitime.

-\ Google Chrome v26.0.1410.43

Fichier : C:\Users\Francois\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [743 octets] - [09/04/2013 21:24:25]

########## EOF - C:\AdwCleaner[R1].txt - [802 octets] ##########

g3n-h@ckm@n · Answer

bonjour malwarebytes n'est pas à jour le moteur a été modifié
  
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤

Smart91 · Answer

OK. 
* Re-lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement dans l'onglet Mise à jour). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser 
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Smart

Frings · Answer

Bonjour à toi....comme demandé , la mise à jour a été fait...voici le rapport:

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.04.10.14

Windows 8 x64 NTFS
Internet Explorer 10.0.9200.16540
Francois :: Q-BERT [administrateur]

Protection: Activé

2013-04-10 19:04:41
mbam-log-2013-04-10 (19-04-41).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 468007
Temps écoulé: 1 heure(s), 9 minute(s), 48 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Smart91 · Answer

OK.

On va faire un diagnostic de ton PC:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista, Windows 7 et Windows 8 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement" 
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe avec le "+"  pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
-  Clique sur Parcourir et cherche le répertoire C:\ZHP
-  Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
-  Ensuite Clique sur "Envoyer le fichier". 
-  Copie le lien obtenu  dans ta réponse. 

Smart

Frings · Answer

Bonjour.. voici le rapport demandé...


https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130411_m12y11q13s6f11

merci encore pour votre aide avec toutes ces étapes :)

Smart91 · Answer

Télécharge ce fichier Frings sur ton bureau en faisant clic droit enregistrer la cible.

Ouvre le fichier Frings, sélectionne toutes les lignes et copie les

A l'attention de ceux qui parcourent le sujet:
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes du fichier frings 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Et redémarre le PC

Smart

Smart91 · Answer

@Frings

Attends avant de faire le script avec ZHPFix

Smart

g3n-h@ckm@n · Answer

ici si c'est possible  

http://sosvirus.org/viewtopic.php?f=6&t=489  

merci à toi
  
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤

Smart91 · Answer

Frings, Upload ce fichier
C:\Users\Francois\AppData\Local\Temp\winziprosetup.exe

Sur ce site:
http://sosvirus.org/viewtopic.php?f=6&t=489 

 Smart

Frings · Answer

Donc si j'ai bien compris , j'attends pour copier coller les lignes de Frings dans zphfix , je ne lance pas zphfix...

j'ai envoyé le fichier demandé à l'adresse demandé....

Smart91 · Answer

Si tu as envoyé le fichier, tu peux faire le script ZHPFix

Smart

Frings · Answer

voici le rapport de zhpfix

Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-2013-04-13-14-38-39.txt
Run by Francois at 2013-04-13 14:38:36
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit  (Build 9200)

Corbeille vidée

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\Francois\AppData\Local\Temp\Extract.exe
SUPPRIME Memory Process: C:\Users\Francois\AppData\Local\Temp\guninstall192109209.exe
SUPPRIME Memory Process: C:\Users\Francois\AppData\Local\Temp	oolbar190031962.exe
SUPPRIME Memory Process: C:\Users\Francois\AppData\Local\Temp\YontooSetup-S.exe
SUPPRIME Memory Process: C:\Users\Francois\AppData\Local\Temp\MSIM189972385.exe
SUPPRIME Memory Process: C:\Users\Francois\AppData\Local\Temp\AVG.exe
SUPPRIME Memory Process: C:\Users\Francois\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_search.crackle.com_0.localstorage
SUPPRIME Memory Process: C:\Users\Francois\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_search.crackle.com_0.localstorage-journal
SUPPRIME Memory Process: C:\Users\Francois\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.crackle.com_0.localstorage
SUPPRIME Memory Process: C:\Users\Francois\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.crackle.com_0.localstorage-journal
SUPPRIME Memory Process: C:\Users\Francois\Downloads\PowerISO 5.5 (Incl. keygen) + Keygen-Lz0 - Genial78\keygen.exe
SUPPRIME Memory Process: C:\Users\Francois\Downloads\PowerISO 5.5 (Incl. keygen) + Keygen-Lz0 - Genial78\PowerISO5.exe
SUPPRIME Memory Process: C:\Users\Francois\AppData\Local\Temp\SP58404.exe
SUPPRIME Memory Process: C:\Users\Francois\AppData\Local\Temp\SP59202.exe
SUPPRIME Memory Process: C:\Users\Francois\AppData\Local\Temp\SP59835.exe
SUPPRIME Memory Process: C:\Users\Francois\AppData\Local\Temp\SP60202.exe
SUPPRIME Memory Process: C:\Users\Francois\AppData\Local\Temp\uninstall192112563.exe
SUPPRIME Memory Process: C:\Users\Francois\AppData\Local\Temp\utt9B69.tmp.exe
SUPPRIME Memory Process: C:\Users\Francois\AppData\Local\Temp\winziprosetup.exe

========== Module(s) mémoire ==========
SUPPRIME Memory Module: C:\Users\Francois\AppData\Local\Temp	bedrs.dll

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Wow6432Node\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
SUPPRIME Key*: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
ABSENT Key: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

========== Valeur(s) du Registre ==========
SUPPRIME {9F503A63-C686-4C44-8C51-FE4FFF240AAB}
SUPPRIME {16847AFD-AB08-47A6-8879-FD2B8C962540}
SUPPRIME {03D51BBA-C7E9-44EF-A1EB-85F0525BBA1E}
SUPPRIME {9897ABFF-08D3-4B9A-9299-E6AE49095B9E}

========== Dossier(s) ==========
SUPPRIME Temporaires Windows

========== Fichier(s) ==========
SUPPRIME File*: c:\users\francois\appdata\local	emp\extract.exe
SUPPRIME File*: c:\users\francois\appdata\local	emp\guninstall192109209.exe
SUPPRIME File: c:\users\francois\appdata\local	emp	oolbar190031962.exe
SUPPRIME File*: c:\users\francois\appdata\local	emp\yontoosetup-s.exe
ABSENT Folder/File: c:\users\francois\appdata\local	emp\yontoosetup-s.exe
ABSENT Folder/File: c:\users\francois\appdata\local	emp\guninstall192109209.exe
SUPPRIME File*: c:\users\francois\appdata\local	emp\msim189972385.exe
SUPPRIME File: c:\users\francois\appdata\local	emp\avg.exe
SUPPRIME File*: c:\users\francois\appdata\local	emp	bedrs.dll
ABSENT Folder/File: c:\users\francois\appdata\local	emp	bedrs.dll
SUPPRIME File: c:\users\francois\appdata\local\google\chrome\user data\default\local storage\http_search.crackle.com_0.localstorage
SUPPRIME File: c:\users\francois\appdata\local\google\chrome\user data\default\local storage\http_search.crackle.com_0.localstorage-journal
SUPPRIME File***: c:\users\francois\appdata\local\google\chrome\user data\default\local storage\http_www.crackle.com_0.localstorage
SUPPRIME File***: c:\users\francois\appdata\local\google\chrome\user data\default\local storage\http_www.crackle.com_0.localstorage-journal
SUPPRIME File***: c:\users\francois\downloads\poweriso 5.5 (incl. keygen) + keygen-lz0 - genial78\keygen.exe
SUPPRIME File: C:\Users\Francois\Downloads\PowerISO 5.5 (Incl. keygen) + Keygen-Lz0 - Genial78\keygen.rar
SUPPRIME File*: c:\users\francois\appdata\local	emp\sp58404.exe
SUPPRIME File*: c:\users\francois\appdata\local	emp\sp59202.exe
SUPPRIME File*: c:\users\francois\appdata\local	emp\sp59835.exe
SUPPRIME File*: c:\users\francois\appdata\local	emp\sp60202.exe
SUPPRIME File*: c:\users\francois\appdata\local	emp\uninstall192112563.exe
SUPPRIME File*: c:\users\francois\appdata\local	emp\utt9b69.tmp.exe
SUPPRIME File: c:\users\francois\appdata\local	emp\winziprosetup.exe
SUPPRIME Temporaires Windows

========== Tache planifiée ==========
SUPPRIME Task: Funmoods
SUPPRIME Task: YourFile DownloaderUpdate

========== Autre ==========
NON TRAITE EmptyFlah


========== Récapitulatif ==========
19 : Processus mémoire
1 : Module(s) mémoire
4 : Clé(s) du Registre
4 : Valeur(s) du Registre
1 : Dossier(s)
24 : Fichier(s)
2 : Tache planifiée
1 : Autre


End of clean in 00mn 37s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 2013-04-13 14:38:39 [5512]

Smart91 · Answer

Ok. Refais un scan ZHPDiag (Loupe +) et poste le rapport vi pjjoint.
Ensuite on va passer à la phase finale. Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet 
 
Smart

Frings · Answer

Parfait, est -ce normal la ligne  "non traité emptyflah"?

Frings · Answer

voici le rapport de zphdiag :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130413_y13f12t9w8y5


S'il a retrouvé des fichiers adware...est-ce apparu entre les 2 moments des rapports zhpdiag?

merci

Smart91 · Answer

Pour EmptyFlah c'est de ma faute ZHPFix a indiqué une erreur de syntaxe,  il fallait mettre EmptyFlash

C'est bon il n'y a plus rien.

Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : http://www.filehippo.com/updatechecker/UpdateChecker.exe
et lis ceci: Pourquoi tenir ses programmes a jour 

Optimisation: 

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie les lignes en gras suivantes :
 
---------------------------------------------------------- 
OPT:SR - | Auto 2011-08-31 462184 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
EmptyFlash

---------------------------------------------------------- 
- Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 

Désinstallation des outils - Réactivation de l'UAC - Purge Restauration et Création d'un point de restauration

- Télécharge DelFix (d'Xplode) sur ton bureau. 
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Coche toutes les cases sauf "Faire une sauvegarde du registre"
- Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
- Le rapport sera enregistré dans le presse-papier. Copie/Colle le dans ta prochaine réponse.

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

Installe l'extension de sécurité adblock plus pour bloquer les publicités 
==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 
Pour Chrome: https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Installe également ce programme qui va bloquer tous les sites qui proposent  des adwares HOSTS Anti-PUPs/Adware
Voici un tutoriel pour t'aider : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
Si tu souhaites plus tard désinstaller  HOSTS_Anti-PUPs/Adware, lance le raccourci qui a été créé sur le bureau.
Tu  peux  aussi lancer la commande : %windir%system32HOSTS_Anti-Adware.exe -uninstal en invite de commande.

- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html 

- Les logiciels gratuits à éviter

- Ouvertures Pop-Up publicitaires

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

- Un autre dossier sur:
Comment se protéger des logiciels potentiellement indésirables (PUP)

- Super Important, comme tu es sous Windows 8 : 
Quelques précautions à prendre surtout si tu n'as pas de CD Windows 

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas.

Smart

Frings · Answer

Voici le dernier zphfix


Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-2013-04-13-23-26-47.txt
Run by Francois at 2013-04-13 23:26:46
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit  (Build 9200)

Corbeille vidée

========== Clé(s) du Registre ==========
SUPPRIME Key: Service: Bonjour Service

========== Dossier(s) ==========
SUPPRIME Flash Cookies

========== Fichier(s) ==========
SUPPRIME Flash Cookies


========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Dossier(s)
1 : Fichier(s)


End of clean in 00mn 01s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 2013-04-13 13:38:39 [5564]
C:\ZHP\ZHPFix[R2].txt - 2013-04-13 23:26:47 [679]


Et en effet, j'aurais quelques questions :) 

j'aimerais bien savoir en gros, à quoi  les dizaines de lignes ont servit lors du premier zphfix ? 

comment savoir aussi si des infos de compte  ou fichiers ont été volé de mon ordi?

Depuis l'installation de mbma , plusieurs pop up de site bloqué potentiellement malveillant m'apparaissent...est ce que cela veut dire que sans mbma , ces sites n'étaient pas bloqués et pouvaient se connecter à mon ordi?Ou est ce explicable par utorrent ?

Désolé de toutes ces questions mais j'aimerais bien être plus autonome vis-à-vis les décontaminations au cas où:)  et surtout que je dois aider une amie avec son ordi qui est infecté par un cheval de troie...Downloader.Generic13.nbf   :(


merci bien 

Frings en train d'appliquer et de lire tous tes liens!

Frings · Answer

# DelFix v10.2 - Rapport créé le 14/04/2013 à 00:11:09
# Mis à jour le 02/04/2013 par Xplode
# Nom d'utilisateur : Francois - Q-BERT

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Francois\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Francois\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Francois\Downloads\adwcleaner.exe
Supprimé : C:\Users\Francois\Downloads\ZHPDiag2.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #24 [Installé Far Cry 2 | 03/30/2013 15:27:45]
Supprimé : RP #25 [Point de contrôle planifié | 04/07/2013 15:38:58]
Supprimé : RP #26 [Supprimé Far Cry 3 | 04/08/2013 21:24:42]
Supprimé : RP #27 [Windows Update | 04/12/2013 14:08:45]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########



et pourquoi la désinstallation des outils ?

Smart91 · Answer

Hello Frings, je vais répondre à tes questions: 

J'aimerais bien savoir en gros, à quoi les dizaines de lignes ont servit lors du premier zphfix ? 
Ces dizaine de lignes sont un script qui représente des fichiers, des clés de registres et/ou valeurs de ces clés de registres installés par les adware et/ou logiciels inutiles ( barre d'outils par exemple) qui n'ont pas été supprimés par les outils comme Adwcleaner et/ou MBAM. On appelle cela des résidus ou des restes, avec ZHPFix ils ont été supprimés.   

comment savoir aussi si des infos de compte ou fichiers ont été volé de mon ordi? 
Tu n'as aucune donnée qui a été volée. Ce n'est pas l'infection que tu as eue 
  
Depuis l'installation de mbma , plusieurs pop up de site bloqué potentiellement malveillant m'apparaissent...est ce que cela veut dire que sans mbma , ces sites n'étaient pas bloqués et pouvaient se connecter à mon ordi?Ou est ce explicable par utorrent ? 
G3n t'a donné la réponse 

Désolé de toutes ces questions mais j'aimerais bien être plus autonome vis-à-vis les décontaminations au cas où:) et surtout que je dois aider une amie avec son ordi qui est infecté par un cheval de troie...Downloader.Generic13.nbf :(    
 Tu n'as pas être désolé, je suis là pour t'aider. Si tu veux être plus autonome, je te suggère de t'inscrire sur un site gratuit de formation à la désinfection ==> https://www.helper-formation.fr/ La formation est un peu longue, et ça vaut le coup. 

Voilà 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Frings · Answer

merci encore pour tes réponses et ton aide....désolé pour le délai :)

Je vais aller voir pour la formation merci

Je devrais aussi faire une demande d'aide pour choisir les bons outils vs le cheval de troie mentionné plus haut si jamais :) Vu que la formation est longue ;)

Au plaisir!

Smart91 · Answer

Heureux de t'avoir aidé 

Smart

Besoin d'aide contre virus Virtool:Obfuscator.xz

29 réponses

Discussions similaires