Infection

badriabd Messages postés 34 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

mon pc est infecté,je ne peut pas installer un antivirus et quelque autre applications importantes.j'ai essayé de faire des analyses en ligne avec des antivirus mais ça ne marche pas.
j'ai fait un analyse avec ZHPDiag.et voila le lien qui a été crée par:http://cjoint.com:
https://www.cjoint.com/c/CEgtOshQAr3
est ce que qq peut m'aider...
merci d'avance.

17 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
    Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis :

    Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    !!! Malwarebyte doit être à jour avant de faire le scan !!!
    Supprime bien ce qui est détecté : bouton supprimer sélection.

    0
    1. yoann090 Messages postés 10597 Statut Contributeur sécurité 1 697
       
      Bonne chance Malekal, tu as la perle des logiciels pas a jour (navigateurs, java ,adobe) et d'une licence sans doute non authentique ^^
      0
  2. badriabd Messages postés 34 Statut Membre
     
    le rapport de adwcleaner mais ce logiciel est fermé avant de termine le scan:

    # AdwCleaner v2.300 - Rapport créé le 06/05/2013 à 20:06:36
    # Mis à jour le 28/04/2013 par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : abdelwadoud - BADRI-09513A0BD
    # Mode de démarrage : Normal
    # Exécuté depuis : F:\Documents and Settings\abdelwadoud\Bureau\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****
    0
  3. badriabd Messages postés 34 Statut Membre
     
    j'ai un problème avec la mise a jour de Malwarebyte;a chaque fois q'elle atteint un niveau,elle commence dés le début(de 0%)
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. badriabd Messages postés 34 Statut Membre
     
    la mise a jour n'est pas terminer,une fenêtre est affichée:
    "une erreur s'est produite.veuillez transmettre ce problème a notre équipe de support.
    PROGRAM_ERROR_APDATING(0,0,incomplet transfer)"
    0
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    En gros y a rien qui marche sur ce PC :)

    Essaye ça :

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs


    * Clique sur le bouton Analyse.

    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
    Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
    0
  7. badriabd Messages postés 34 Statut Membre
     
    effectivement y a rien qui marche
    il me dit que OTL a rencontré un probleme et doit femer
    0
  8. badriabd Messages postés 34 Statut Membre
     
    heureusement la mise a jour de Malwarebyte est terminé avec succès,j'ai fait le scan,et supprimé ce qui est détecté.voici le rapport:
    Malwarebytes Anti-Malware (Essai) 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2013.05.06.11

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 7.0.5730.13
    abdelwadoud :: BADRI-09513A0BD [administrateur]

    Protection: Activé

    07/05/2013 00:11:47
    mbam-log-2013-05-07 (00-11-47).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 244653
    Temps écoulé: 12 minute(s), 21 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 2
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 8
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun|1 (Security.Hijack) -> Données: cmd.exe -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun|1 (PUM.Security.Hijack) -> Données: cmd.exe -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun|2 (PUM.Security.Hijack) -> Données: mmc.exe -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun|3 (Security.Hijack) -> Données: rstrui.exe -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun|4 (Security.Hijack) -> Données: regedit.exe -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun|5 (PUM.Security.Hijack) -> Données: regedt32.exe -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|FrameWorkService (Trojan.Delf) -> Données: -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|FrameWorkService (Trojan.Delf) -> Données: -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 5
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
    HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
    HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
    HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 17
    F:\Documents and Settings\abdelkader\Application Data\lsass.exe (Worm.Kuco) -> Mis en quarantaine et supprimé avec succès.
    F:\Documents and Settings\abdelkader\Application Data\smss.exe (Worm.Kuco) -> Mis en quarantaine et supprimé avec succès.
    F:\Documents and Settings\abdelkader\Application Data\svchost.exe (Worm.Kuco) -> Mis en quarantaine et supprimé avec succès.
    F:\Documents and Settings\abdelwadoud\Application Data\lsass.exe (Worm.Kuco) -> Mis en quarantaine et supprimé avec succès.
    F:\Documents and Settings\abdelwadoud\Application Data\smss.exe (Worm.Kuco) -> Mis en quarantaine et supprimé avec succès.
    F:\Documents and Settings\abdelwadoud\Application Data\svchost.exe (Worm.Kuco) -> Mis en quarantaine et supprimé avec succès.
    F:\bluk.exe (Malware.Packer.Gen) -> Mis en quarantaine et supprimé avec succès.
    F:\Documents and Settings\abdelkader\Menu Démarrer\Programmes\Démarrage\cxrfhnqc.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
    F:\Documents and Settings\abdelkader\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif (Worm.Kuco) -> Mis en quarantaine et supprimé avec succès.
    F:\Documents and Settings\abdelwadoud\Menu Démarrer\Programmes\Démarrage\cxrfhnqc.exe (Trojan.Agent) -> Suppression au redémarrage.
    F:\WINDOWS\system32\Sexy Girls.scr (Worm.Kuco) -> Mis en quarantaine et supprimé avec succès.
    F:\WINDOWS\system32\utilman.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
    F:\WINDOWS\system32\smbinst.exe (Backdoor.Hupigon) -> Mis en quarantaine et supprimé avec succès.
    F:\Documents and Settings\abdelkader\Local Settings\Temp\is1668783924\334501_Setup.EXE (Spyware.Zbot.USBV) -> Mis en quarantaine et supprimé avec succès.
    F:\Documents and Settings\abdelwadoud\ert.dll (Worm.Vobfus) -> Mis en quarantaine et supprimé avec succès.
    F:\Program Files\RarExt64.dll (Spyware.OnlineGames) -> Mis en quarantaine et supprimé avec succès.
    F:\WINDOWS\inf\smss.exe (Trojan.Delf) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
    1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      ptain t'es pas dans la merde !!! t'es vraiment mal en fait....
      0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu peux retenter OTL ?
    Et en mode sans échec ?

    Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
    0
  10. badriabd Messages postés 34 Statut Membre
     
    bonjour
    je ne peut pas redémarrer en mode sans échec avec prise en charge du réseau
    il me dit:"Windows n'a pas démarré correctement.un nouveau logiciel ou matériel peut être responsable de ce problème"
    remarque: j'utilise un modem du téléphone portable pour connecter a internet.je ne peut pas connecter avant le lancement du logiciel qui suit le téléphone, c'est a dire après le démarrage de Windows.
    0
  11. badriabd Messages postés 34 Statut Membre
     
    j'utulise une autre methode pour redemarrer sans échec:

    Cliquez >sur Démarrer> Exécuter > tapez msconfig et cliquez sur OK ;
    Allez à l'onglet BOOT.INI ;
    Cochez la case /SAFEBOOT dans les Options de démarrage
    Cliquez sur OK ;
    Sélectionnez Redémarrer lorsque vous êtes invité;

    mais apres le demarrage,je ne peut pas ouvrir OTL?il affiche:"application error"
    0
  12. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    et roguekiller ?

    [*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start=
    [*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Lance un scan afin de débloquer le bouton Suppression à droite.
    [*] Clic sur Suppression.
    Poste le rapport ici.

    !!! Je répète bien faire Suppression à droite et poster le rapport. !!!

    0
  13. badriabd Messages postés 34 Statut Membre
     
    voici le rapport:

    RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur : abdelwadoud [Droits d'admin]
    Mode : Suppression -- Date : 07/05/2013 17:26:47
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 1 ¤¤¤
    [SUSP PATH] woakim.exe -- F:\Documents and Settings\abdelwadoud\woakim.exe [-] -> TUÉ [TermProc]

    ¤¤¤ Entrees de registre : 12 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : woakim (F:\Documents and Settings\abdelwadoud\woakim.exe) [-] -> SUPPRIMÉ
    [RUN][SUSP PATH] HKLM\[...]\Run : aa (F:\WINDOWS\taipingtianguov1.1.exe) [x] -> SUPPRIMÉ
    [RUN][SUSP PATH] HKCU\[...]\RunOnce : !Free mp3 Wma ConverterOnce (F:\Documents and Settings\abdelwadoud\Bureau\logiciel\FreeMp3WmaConverterSetup.exe) [-] -> SUPPRIMÉ
    [DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{ABBBF7C1-5B48-4E6E-8FFD-508F930553B4} : NameServer (10.204.100.213 10.203.100.213) -> NON SUPPRIMÉ, UTILISER DNS RAZ
    [HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> SUPPRIMÉ
    [HJPOL] HKCU\[...]\System : DisableRegistryTools (1) -> SUPPRIMÉ
    [HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
    [HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REMPLACÉ (0)
    [HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REMPLACÉ (0)
    [HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
    [RUN][SUSP PATH] [ON_C:]HKLM\Software[...]\Run : aa (C:\WINDOWS\taipingtianguov1.1.exe) [x] -> SUPPRIMÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤
    -> C:\windows\system32\config\SOFTWARE
    -> C:\windows\system32\config\SYSTEM
    -> C:\Documents and Settings\Administrateur\NTUSER.DAT
    -> C:\Documents and Settings\badri\NTUSER.DAT
    -> C:\Documents and Settings\Default User\NTUSER.DAT
    -> C:\Documents and Settings\LocalService\NTUSER.DAT
    -> C:\Documents and Settings\NetworkService\NTUSER.DAT
    -> C:\Documents and Settings\openpgsvc\NTUSER.DAT

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> F:\WINDOWS\system32\drivers\etc\hosts

    127.0.0.1 localhost
    127.0.0.1 tonec.com
    127.0.0.1 www.tonec.com
    127.0.0.1 registeridm.com
    127.0.0.1 www.registeridm.com
    127.0.0.1 secure.registeridm.com
    127.0.0.1 internetdownloadmanager.com
    127.0.0.1 www.internetdownloadmanager.com
    127.0.0.1 secure.internetdownloadmanager.com
    127.0.0.1 mirror.internetdownloadmanager.com
    127.0.0.1 mirror2.internetdownloadmanager.com
    127.0.0.1 mirror3.internetdownloadmanager.com

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD1600JS-55NCB1 +++++
    --- User ---
    [MBR] 7b606c1fd0244b2e01a7edfcbf6be4f7
    [BSP] 88a304241d67e63e4735ad25a7021dda : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 60008 Mo
    1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 122897250 | Size: 52454 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 230323905 | Size: 20002 Mo
    3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 271289655 | Size: 20159 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2]_D_07052013_172647.txt >>
    RKreport[1]_S_07052013_172602.txt ; RKreport[2]_D_07052013_172647.txt
    0
  14. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Retente OTL pour voir.
    0
  15. badriabd Messages postés 34 Statut Membre
     
    il affiche:"application error"
    0
  16. badriabd Messages postés 34 Statut Membre
     
    bonjour malekal
    j'ai un autre système d'exploitation dans mon pc(les deux Windows xp)
    dans le deuxième,OTL est lancé.
    est ce que je fait l'analyse dans ce système ou il faut répéter les autres procédures?
    merci
    0
  17. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Celui qui est infecté semble être le F:\

    Mais bon t'as Sallity donc là tous les .exe sont surement infectés...
    Tu peux tenter Kaspersky removal tool : https://forum.malekal.com/viewtopic.php?t=33710&start=

    Mais à mon avis, tu devrais formater.
    0