Buzus

Fermé
queuedaigle Messages postés 156 Date d'inscription mercredi 14 mai 2008 Statut Membre Dernière intervention 9 février 2024 - 9 mai 2013 à 18:38
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 16 mai 2013 à 11:14
Bonjour,

J'ai besoin d'un conseil et d'un coup de mian car mon ordi est infecté par le trojan buzus .
Merci

9 réponses

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
9 mai 2013 à 18:58
Bonjour,

- Télécharge sur ton bureau AdwCleaner de Xplode
- Lance le
- Choisis "Recherche" et poste le rapport
- Le rapport se trouve ici ==> C:\AdwCleaner[R1].txt

Smart
0
queuedaigle Messages postés 156 Date d'inscription mercredi 14 mai 2008 Statut Membre Dernière intervention 9 février 2024
9 mai 2013 à 19:15
# AdwCleaner v2.300 - Rapport créé le 09/05/2013 à 19:09:58
# Mis à jour le 28/04/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Francis - FRANCIS-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Francis\Desktop\adwcleaner(1).exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Program Files (x86)\1ClickDownload
Dossier Présent : C:\Program Files (x86)\Advanced System Protector
Dossier Présent : C:\Program Files (x86)\Common Files\DVDVideoSoft\TB
Dossier Présent : C:\Program Files (x86)\ExpressFiles
Dossier Présent : C:\Program Files (x86)\Software
Dossier Présent : C:\Program Files\DomaIQ Uninstaller
Dossier Présent : C:\ProgramData\Browser Manager
Dossier Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced System Protector
Dossier Présent : C:\Users\Francis\AppData\Local\lollipop
Dossier Présent : C:\Users\Francis\AppData\Roaming\Advanced System Protector
Dossier Présent : C:\Users\Francis\AppData\Roaming\dvdvideosoftiehelpers
Dossier Présent : C:\Users\Francis\AppData\Roaming\ExpressFiles
Dossier Présent : C:\Windows\Installer\{4BD8E034-E0F4-4509-A753-467A8E854CD8}
Fichier Présent : C:\Program Files (x86)\Mozilla FireFox\searchplugins\Search_Results.xml
Fichier Présent : C:\Users\Francis\AppData\Roaming\Mozilla\Firefox\Profiles\ds23gxye.default\searchplugins\Search_Results.xml

***** [Registre] *****

Clé Présente : HKCU\Software\1ClickDownload
Clé Présente : HKCU\Software\AppDataLow\Software\SmartBar
Clé Présente : HKCU\Software\Conduit
Clé Présente : HKCU\Software\ExpressFiles
Clé Présente : HKCU\Software\InstallCore
Clé Présente : HKCU\Software\lollipop
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9D717F81-9148-4F12-8568-69135F087DB0}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\ExpressFiles
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}
Clé Présente : HKLM\Software\DataMngr
Clé Présente : HKLM\Software\ExpressFiles
Clé Présente : HKLM\Software\Iminent
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\boxore_RASAPI32
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\boxore_RASMANCS
Clé Présente : HKLM\Software\SimplyGen
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{3EC1A45C-8BC3-4BFE-B226-4051C5D3D068}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé Présente : HKU\S-1-5-21-2872576533-1184751126-2132402246-1001\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Valeur Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [10]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [10]

***** [Navigateurs] *****

-\\ Internet Explorer v10.0.9200.16537

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.searchnu.com/410

-\\ Mozilla Firefox v20.0.1 (fr)

Fichier : C:\Users\Francis\AppData\Roaming\Mozilla\Firefox\Profiles\ds23gxye.default\prefs.js

Présente : user_pref("browser.search.defaultenginename", "Search Results");
Présente : user_pref("browser.search.order.1", "Search Results");
Présente : user_pref("keyword.URL", "hxxp://dts.search-results.com/sr?src=ffb&gct=ds&appid=0&systemid=410&apn_d[...]

*************************

AdwCleaner[R1].txt - [44012 octets] - [21/06/2012 09:45:29]
AdwCleaner[R2].txt - [1066 octets] - [22/12/2012 13:34:01]
AdwCleaner[R3].txt - [1788 octets] - [22/12/2012 21:28:05]
AdwCleaner[R4].txt - [4857 octets] - [09/05/2013 19:09:58]
AdwCleaner[S1].txt - [33868 octets] - [21/06/2012 09:45:36]
AdwCleaner[S2].txt - [1859 octets] - [22/12/2012 21:31:30]
AdwCleaner[S3].txt - [1240 octets] - [22/12/2012 23:39:58]

########## EOF - C:\AdwCleaner[R4].txt - [5098 octets] ##########
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
Modifié par Smart91 le 9/05/2013 à 19:28
Tu avais déjà passé AdwCleaner l'année dernière et tu es encore infecté par des adware et des programmes indérisables.

Pour éviter ce genre de problème :
- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme O1net, Softronic, Tuto4PC, etc modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.
- Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.
Pour ton information lis ces dossier sur les Programmes Potentiellement Indésirables et Les Barres d'Outils ce n'est pas obligatoires

- Relance AdwCleaner
- Clique sur[Suppression]. Sauvegarde tout travail en cours puis accepte la fermeture des programmes en cours d'exécution.
- Patiente le temps du nettoyage.
- Une fois le scan fini, il te sera proposé de redémarrer.
- Au redémarrage du PC, un rapport s'ouvrira. Poste le contenu dans ta prochaine réponse.
- Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S4].txt

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
0
queuedaigle Messages postés 156 Date d'inscription mercredi 14 mai 2008 Statut Membre Dernière intervention 9 février 2024
9 mai 2013 à 19:50
# AdwCleaner v2.300 - Rapport créé le 09/05/2013 à 19:40:47
# Mis à jour le 28/04/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Francis - FRANCIS-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Francis\Desktop\adwcleaner(1).exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\1ClickDownload
Dossier Supprimé : C:\Program Files (x86)\Advanced System Protector
Dossier Supprimé : C:\Program Files (x86)\Common Files\DVDVideoSoft\TB
Dossier Supprimé : C:\Program Files (x86)\ExpressFiles
Dossier Supprimé : C:\Program Files (x86)\Software
Dossier Supprimé : C:\Program Files\DomaIQ Uninstaller
Dossier Supprimé : C:\ProgramData\Browser Manager
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced System Protector
Dossier Supprimé : C:\Users\Francis\AppData\Local\lollipop
Dossier Supprimé : C:\Users\Francis\AppData\Roaming\Advanced System Protector
Dossier Supprimé : C:\Users\Francis\AppData\Roaming\dvdvideosoftiehelpers
Dossier Supprimé : C:\Users\Francis\AppData\Roaming\ExpressFiles
Dossier Supprimé : C:\Windows\Installer\{4BD8E034-E0F4-4509-A753-467A8E854CD8}
Fichier Supprimé : C:\Program Files (x86)\Mozilla FireFox\searchplugins\Search_Results.xml
Fichier Supprimé : C:\Users\Francis\AppData\Roaming\Mozilla\Firefox\Profiles\ds23gxye.default\searchplugins\Search_Results.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\1ClickDownload
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\ExpressFiles
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\lollipop
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9D717F81-9148-4F12-8568-69135F087DB0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\ExpressFiles
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\Software\ExpressFiles
Clé Supprimée : HKLM\Software\Iminent
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\boxore_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\boxore_RASMANCS
Clé Supprimée : HKLM\Software\SimplyGen
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{3EC1A45C-8BC3-4BFE-B226-4051C5D3D068}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [10]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [10]

***** [Navigateurs] *****

-\\ Internet Explorer v10.0.9200.16537

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.searchnu.com/410 --> hxxp://www.google.com

-\\ Mozilla Firefox v20.0.1 (fr)

Fichier : C:\Users\Francis\AppData\Roaming\Mozilla\Firefox\Profiles\ds23gxye.default\prefs.js

Supprimée : user_pref("browser.search.defaultenginename", "Search Results");
Supprimée : user_pref("browser.search.order.1", "Search Results");
Supprimée : user_pref("keyword.URL", "hxxp://dts.search-results.com/sr?src=ffb&gct=ds&appid=0&systemid=410&apn_d[...]

*************************

AdwCleaner[R4].txt - [5153 octets] - [09/05/2013 19:09:58]
AdwCleaner[S4].txt - [4202 octets] - [09/05/2013 19:40:47]

########## EOF - C:\AdwCleaner[S4].txt - [4262 octets] ##########
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
9 mai 2013 à 23:33
OK. Maintenant tu vas faire ceci:

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Smart
0
queuedaigle
15 mai 2013 à 19:01
avec du retard voici le post



Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.05.13.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16540
Francis :: FRANCIS-PC [administrateur]

13/05/2013 09:33:52
mbam-log-2013-05-13 (09-33-52).txt

Type d'examen: Examen complet (A:\|B:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|N:\|O:\|P:\|Y:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 1101906
Temps écoulé: 3 heure(s), 58 minute(s), 27 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 5
A:\bons programmes\PDF2Word%20v3.0.rar (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.
A:\bons programmes\TipardHDVideoConverter6112.rar (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
G:\programme installés\daemon-tools_daemon_tools_4.1_anglais_10729.exe (Adware.Vomba) -> Mis en quarantaine et supprimé avec succès.
G:\programmes\Easy.CD-DA.Extractor.v10.0.3_KEYGEN+PATCH-FFF.zip (Trojan.Dropper.PGen) -> Mis en quarantaine et supprimé avec succès.
G:\programmes\Net.Transport.v2.56a.396.Vista.x86.WORKING.Cracked-CzW.rar (Trojan.Proxy) -> Mis en quarantaine et supprimé avec succès.

(fin)
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
15 mai 2013 à 19:49
La base virale de MBAM n'est pas à jour. On verra cela plus tard.

Comment se comporte le PC ?

On va quand même faire un diagnostic du PC afin de voir s'il y des résidus et/ou d'autres infections.

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista, Windows 7 et Windows 8 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement"
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur le bouton tournevis en haut à droite et coche toutes les options
- Clique sur la loupe en haut à droite sans signe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
- Clique sur Parcourir et cherche le répertoire C:\ZHP
- Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
- Ensuite Clique sur "Envoyer le fichier".
- Copie le lien obtenu dans ta réponse.

Smart
0
queuedaigle
15 mai 2013 à 21:23
désolé mais je ne trouve pas le bouton tournevis. Dois je ouvrir ZHPDiag ou ZHPFix. En fait j'ai essayé le 2 mais je ne trouve pas les boutons
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
16 mai 2013 à 11:14
Dans la fenêtre ZHPDiag dans le bandeau en haut à droite c'est le bouton entre la flèche verte et la loupe

Smart
0