Problème suppression Zombie invasionRésolu/Fermé

Question

Bonjour, 

J'essaie de supprimer le malware Zombie invasion. 
J'ai suivi les instructions d'un autre sujet.
Voici les rapports :

- d'Adwcleaner:

# AdwCleaner v4.101 - Rapport créé le 18/11/2014 à 18:14:49
# Mis à jour le 09/11/2014 par Xplode
# Database : 2014-11-16.1 [Live]
# Système d'exploitation : Windows 8.1  (64 bits)
# Nom d'utilisateur : Éric - ERIC
# Exécuté depuis : C:\Users\Éric\Desktop\adwcleaner_4.101.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Users\Éric\AppData\Local\ZombieInvasion

***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\ Internet Explorer v11.0.9600.17416


-\ Mozilla Firefox v33.1 (x86 fr)


-\ Google Chrome v38.0.2125.122


*************************

AdwCleaner[R0].txt - [15097 octets] - [18/11/2014 00:02:09]
AdwCleaner[R1].txt - [1588 octets] - [18/11/2014 00:05:51]
AdwCleaner[R2].txt - [1063 octets] - [18/11/2014 00:09:38]
AdwCleaner[R3].txt - [1122 octets] - [18/11/2014 00:11:35]
AdwCleaner[R4].txt - [1183 octets] - [18/11/2014 00:12:58]
AdwCleaner[R5].txt - [2159 octets] - [18/11/2014 00:31:28]
AdwCleaner[R6].txt - [1485 octets] - [18/11/2014 00:51:03]
AdwCleaner[R7].txt - [1605 octets] - [18/11/2014 01:23:38]
AdwCleaner[R8].txt - [2654 octets] - [18/11/2014 13:36:53]
AdwCleaner[R9].txt - [1883 octets] - [18/11/2014 18:13:59]
AdwCleaner[S0].txt - [11732 octets] - [18/11/2014 00:03:42]
AdwCleaner[S1].txt - [1661 octets] - [18/11/2014 00:07:10]
AdwCleaner[S2].txt - [1126 octets] - [18/11/2014 00:10:30]
AdwCleaner[S3].txt - [1245 octets] - [18/11/2014 00:13:43]
AdwCleaner[S4].txt - [2248 octets] - [18/11/2014 00:32:55]
AdwCleaner[S5].txt - [1547 octets] - [18/11/2014 00:51:47]
AdwCleaner[S6].txt - [1667 octets] - [18/11/2014 01:24:25]
AdwCleaner[S7].txt - [2583 octets] - [18/11/2014 13:38:05]
AdwCleaner[S8].txt - [1805 octets] - [18/11/2014 18:14:49]

########## EOF - C:\AdwCleaner\AdwCleaner[S8].txt - [1865 octets] ##########

Et les liens pjjoint...

http://pjjoint.malekal.com/files.php?id=20141118_z10o14d9o6e8

http://pjjoint.malekal.com/files.php?id=20141118_d5q12l13u13z12

Merci de votre aide. 
Je ne sais vraiment pas comment me débarrasser de ce truc.


Configuration: Windows / Firefox 33.0

cabrier · Answer

hello


Fais nous un scan complet :

* Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau,
/!\Il est très important de l'enregistrer sur le bureau / !\  

* Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et laisse se dérouler l'installation
/!\L'outil a créé 2 icônes ZHPDiag , ZHPFix /!\
/!\Utilisateurs de Vista et Windows 7/8 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\

* A l'ouverture le programme te proposes plusieurs options, cliques sur "Complet" et laisse travailler l'outil.


* ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !

* Laisse l'outil travailler, il peut être assez long. 

* Le rapport s'ouvre dans le bloc note, ferme le car il est aussi enregistré sur ton bureau sous le nom ZHPDiag.txt et dans le dossier où est installé ZHPDiag (en général C:\ZHP\). 

* Transmets moi le lien du fichier par l'intermédiaire d'un dépôt de fichiers.

* Rappel des dépôts : cjoint ou  pjoint


A+

cabrier · Answer

grigri,

OK je regarde et te donnes la suite !

A+

cabrier · Answer

grigri,


Hé bien dis donc tu as une machine sacrément infectée !!!


Commençons :


Télécharge sur le bureau Roguekiller (by tigzy)
Choisis la version correspondant à ta machine (x64 si 64 bits)

*    Quitte tous les programmes en cours

*    Lance RogueKiller.exe

*    Attends que le Prescan ait fini ...
Une fenêtre apparait sur l'accord de licence "Accepte"

*    Clique sur Scan.

Clique sur Rapport et copie/colle le contenu du notepad

(le rapport est également sur le bureau)

* Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois, ou renomme le en winlogon.exe 

Et si ça ne marche toujours pas , lance le en mode sans échec avec prise en charge du réseau.


Plus d'info sur RogueKiller : ICI

A+

cabrier · Answer

Ensuite :


[*] Télécharge TDSSKiller de Kaspersky et enregistre-le sur ton Bureau

[*] Double-clique sur TDSSKiller.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

[*]  Clique sur Change parameters et coche la case Loaded modules. Le message Reboot is required s'affiche.

[*]  Il faut le valider en cliquant sur Reboot now.

[*]  Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
    L'outil TDSSKiller se relance.

[*] Clique de nouveau sur Change parameters et coche dans Additionnal options les cases Verify driver digital signatures et Detect TDLFS file system. Valide par OK

 [*] Clique sur Start scan pour lancer l'analyse. Laisse travailler l'outil sans l'interrompre.

[*] En fin d'analyse, si l'outil a trouvé des éléments suspects ou malicieux, laisse les options indiquées par l'outil pour l'action à effectuer :
Vérifie que :
Si TDSS.tdl2 est détecté, l'option par défaut soit delete
Si TDSS.tdl3 est détecté, l'option par défaut soit Cure
Si TDSS.tdl4 (mbr) est détecté, l'option par défaut soit Cure
Si Suspicious object est indiqué, l'option par défaut soit Skip 


[*]     Clique ensuite sur Continue, puis clique sur Reboot computer

[*]  Au redémarrage, poste le rapport TDSSKiller.Version_Date_Heure_log.txt dans ta réponse sur le forum

    Le rapport TDSSKiller.Version_Date_Heure_log.txt est enregistré sous C:\TDSSKiller.Version_Date_Heure_log.txt



Tutoriel d'utilisation TDSSKiller en images :
https://forum.security-x.fr/tutoriels-317/tutoriel-tdsskiller-nouvelle-version/
ou
http://www.sosvirus.net/tdsskiller-kaspersky-t82423.html 


A+

grigri · Answer

Par contre, j'ai l'impression que Zombie invasion a disparu...

cabrier · Answer

grigri,

J'ai lancé le scan mais à la fin, il a rien trouvé d'anormal.
Rien à propos des TDSS dont tu parles.

Tant mieux !

On va utiliser Malwarebyte puis tu referas un scan avec ZHPDiag et je te reprendrai demain !

Re,

Télécharge <gras<Malwaresbytes anti malware</gras>
ICI

* Installe-le en choisissant Français et en laissant les options par défaut,

* Décoche la case Activer l'essai gratuit de Malwarebytes Anti-Malware Premium à la fin de l'installation,

* Il te faudra mettre à jour la base de données en cliquant sur Mettre à jour dans le Tableau de Bord.

* Dans l'onglet Examen, sélectionne Examen Menaces puis clique sur Examiner maintenant.

* Une fois le scan terminé, clique sur Tout mettre en quarantaine puis sur Appliquer les actions

(Si un message te demande de redémarrer le PC pour terminer la suppression, accepte le redémarrage)

* Après un redémarrage éventuel, relance Malwarebytes,
Clique sur [Historique] -> Journaux de l'application
Sélectionne le dernier Journal d'examen -> Afficher
Clique en bas sur [Exporter] -> fichier texte (*.txt)

* Choisis le bureau comme emplacement

* Copie/Colle le contenu du rapport dans ta réponse, ou
Héberge le rapport sur ce site et Copie/Colle le lien créé dans ta réponse.

Voici un tuto très complet :
https://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-22723/?PHPSESSID=0smgpo5dai63srhr1crq4ujq5t

A+

cabrier · Answer

Et enfin tu vas Reparamétrer tes navigateurs.


Tes navigateurs WEB peuvent avoir été modifiées (démarrage, moteur, extensions ajoutées), voici comment faire pour rétablir une configuration normale et t'affranchir de ces parasites (bien entendu tu peux aussi les désinstaller puis réinstaller, dans certains cas c'est la solution !) :

* IE ---> : https://forum.malekal.com/viewtopic.php?t=41399&start=
* Firefox --->: https://www.malekal.com/reparer-firefox/?t=36057&start=
* Chrome ---> : https://www.malekal.com/reparer-google-chrome/?t=35837&start=

A vérifier également :
BleepingComputer propose un programme qui permet de nettoyer les raccourcis qui peuvent avoir été modifiés par des programmes parasites afin de forcer l'ouverture d'une page WEB au lancement du navigateur (ex : AwesomeHP, Nation-Zoom, etc....).
Voici le lien de téléchargement : https://www.bleepingcomputer.com/download/shortcut-cleaner/

La même manipulation peut se faire manuellement :
-clic droit sur les icônes de raccourcis ---> propriétés,
- voir "cible" et vérifier que la fin de l'adresse ne comporte pas une adresse supplémentaire de redirection. Dans ce cas supprimer uniquement cette adresse http supplémentaire. 
 


A demain !

grigri · Answer

Voici la log de Malwarebytes:

Malwarebytes Anti-Malware
www.malwarebytes.org

Scan Date: 18/11/2014
Scan Time: 23:16:57
Logfile: log Malwarebytes.txt
Administrator: Yes

Version: 2.00.3.1025
Malware Database: v2014.11.18.07
Rootkit Database: v2014.11.18.01
License: Trial
Malware Protection: Enabled
Malicious Website Protection: Enabled
Self-protection: Disabled

OS: Windows 8.1
CPU: x64
File System: NTFS
User: Ã?ric

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 389117
Time Elapsed: 5 min, 54 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 0
(No malicious items detected)

Registry Values: 0
(No malicious items detected)

Registry Data: 0
(No malicious items detected)

Folders: 0
(No malicious items detected)

Files: 2
PUP.Optional.ZombieInvasion.A, C:\ProgramData\XHoXgsv\dat\iaPeHcHNYZf.exe, Quarantined, [380707367efe6ec87912239b23defd03], 
PUP.Optional.ZombieInvasion.A, C:\ProgramData\XHoXgsv\dat\kyDvDUjYR.exe, Quarantined, [162966d7f3896fc7a7e47945f20f23dd], 

Physical Sectors: 0
(No malicious items detected)


(end)

J'ai relancé aussi ZHP, la log est ici :

http://cjoint.com/?DKsxQCq81Sl

J'ai lancé aussi sc-cleaner mais il n'y avait pas de problème de raccourci.

J'ai également réinitialisé Firefox que j'utilise comme navigateur unique.

cabrier · Answer

grigri,


Tu peux vider la quarantaine de Malwarebyte, normalement ton Zombie est retourné aux limbes ;)


Un dernier ZHPDiag de contrôle puis on finalisera en nettoyant outils et rapports.

A toi.

grigri · Answer

Voici le rapport ZHP Diag:

http://cjoint.com/?DKtlJ42pqGA 

Ce matin, Zombie Invasion n'est toujours pas revenu en effet.

Je me demande comment ce truc est arrivé.
Je pense qu'il est apparu suite à Omiga plus que j'ai récupéré en croyant installer une version de plugin java. J'ai réussi à virer Omiga plus mais il a dû en profiter pour installer Zombie...

Je voulais utiliser ce site qui nécessite un plug in Java:

http://www.asahi-net.or.jp/~ik2r-myr/kanji/kanji1f.htm

Du coup, je me pose des questions :
- comment installer le bon plug in java pour faire marcher ce site et pourquoi par défaut, c'est pas installé ? Y a-t-il un problème de sécurité ?
- tu disais plus haut que ma machine était très infectée : à quoi cela est due ? Comment l'éviter à l'avenir ? Changer d'anti-virus ? Aujourd'hui, j'ai le truc par défaut livré avec Windows 8.1, Windows defender. Ce n'est pas suffisant ?
- la solution est-elle "simplement" de régulièrement faire des scan avec ces anti-malware ?

Beaucoup de questions, je m'en excuse mais je n'aimerais pas que mon problème se reproduise.

cabrier · Answer

Hey grigri, a quoi tu joues ?


Dans ce dernier rapport ZHPDiag tu es encore plus infectée qu'à l'origine !!!

N'installe AUCUN logiciel tant que nous n'aurons pas fini le nettoyage.


iSafe AntiVirus est un Rogue, c'est à dire un faux antivirus qui va te faire croire que tu es infecté pour que tu l'achètes et qui en profite pour garnir ton PC de "cochonneries" !!!



Mais faut tout- recommencer. 



Utilise AdwCleaner (développé par Xplode) qui est un outil de désinfection spécifique aux logiciels publicitaires : 

*Il est à télécharger ICI pour obtenir la dernière version.

* Une fois téléchargé et lancé (clic droit : "Exécuter en tant qu'administrateur") clique sur [Scanner], laisse l'outil travailler.

* Lorsque le scan est terminé, dans les différents onglets apparaissent les infections trouvées.

* Clique sur l'onglet [Nettoyer], tous les éléments infectieux trouvés vont être supprimés.

* Clique sur [Rapport], le rapport apparait, tu peux le copier/coller dans ta prochaine réponse. 
Sinon héberge le sur :
cijoint ou  pjoint ou Up2Share et transmet moi le lien obtenu.

--------------------------------------------------

*Télécharge JRT(de thisisu) sur ton bureau.

*Lance Junkware Removal Tool, (exécuter en tant qu'administrateur sous Windows : 7/8 et Vista)

*Appuie sur n'importe quelle touche.

*Une fois le scan terminé un fichier JRT.txt à été créé sur ton bureau.

*Héberge le rapport JRT.txt sur cijoint ou  pjoint ou Up2Share et transmet moi le lien obtenu.




A+
--------Contributeur Sécurité---------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

cabrier · Answer

grigri,

On fait le ménage pour repartir proprement !



Désinstallation des outils
- Télécharge DelFix (d'Xplode) sur ton bureau. 
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur) 
- Sélectionne "Supprimer les outils de désinfection" 
- Clique sur "Exécuter"
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message. 

Note : 
Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt ) 
Ne cherche plus Delfix, il se supprime lui même !


A+
 
--------Contributeur Sécurité---------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

cabrier · Answer

Bien, Reprenons un MBAM Télécharge ICI * Installe-le en choisissant Français et en laissant les options par défaut, * Décoche la case Activer l'essai gratuit de Malwarebytes Anti-Malware Premium à la fin de l'installation, * Il te faudra mettre à jour la base de données en cliquant sur Mettre à jour dans le Tableau de Bord. * Dans l'onglet Examen, sélectionne Examen Menaces puis clique sur Examiner maintenant. * Une fois le scan terminé, clique sur Tout mettre en quarantaine puis sur Appliquer les actions (Si un message te demande de redémarrer le PC pour terminer la suppression, accepte le redémarrage) * Après un redémarrage éventuel, relance Malwarebytes, Clique sur [Historique] -> Journaux de l'application Sélectionne le dernier Journal d'examen -> Afficher Clique en bas sur [Exporter] -> fichier texte (*.txt) * Choisis le bureau comme emplacement * Copie/Colle le contenu du rapport dans ta réponse, ou Héberge le rapport sur ce site et Copie/Colle le lien créé dans ta réponse. Voici un tuto très complet : https://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-22723/?PHPSESSID=0smgpo5dai63srhr1crq4ujq5t A+

cabrier · Answer

Aprés MBAM



Télécharge sur le bureau Roguekiller (by tigzy)
Choisis la version correspondant à ta machine (x64 si 64 bits)

*    Quitte tous les programmes en cours

*    Lance RogueKiller.exe

*    Attends que le Prescan ait fini ...
Une fenêtre apparait sur l'accord de licence "Accepte"

*    Clique sur Scan.

Clique sur Rapport et copie/colle le contenu du notepad

(le rapport est également sur le bureau)

* Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois, ou renomme le en winlogon.exe 

Et si ça ne marche toujours pas , lance le en mode sans échec avec prise en charge du réseau.


Plus d'info sur RogueKiller : ICI



Tu cocheras tout ce qui est en rouge ou orange pour Supprimer.

---------------------------------------------

Et enfin tu referas un ZHPDiag en téléchargeant la dernière version :

* Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau,
/!\Il est très important de l'enregistrer sur le bureau / !\  

* Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et laisse se dérouler l'installation
/!\L'outil a créé 2 icônes ZHPDiag , ZHPFix /!\
/!\Utilisateurs de Vista et Windows 7/8 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\

* A l'ouverture le programme te proposes plusieurs options, cliques sur "Complet" et laisse travailler l'outil.


* ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !

* Laisse l'outil travailler, il peut être assez long. 

* Le rapport s'ouvre dans le bloc note, ferme le car il est aussi enregistré sur ton bureau sous le nom ZHPDiag.txt et dans le dossier où est installé ZHPDiag (en général C:\ZHP\). 

* Transmets moi le lien du fichier par l'intermédiaire d'un dépôt de fichiers.

* Rappel des dépôts : cjoint ou  pjoint

-----------------------------------------------

Je te retrouverais demain après midi pour contrôler ZHPDiag, te donner éventuellement le dernier script.

Ensuite je pense que ce sera bon.


Bonne nuit !
A+

cabrier · Answer

grigri,

Bizarre tout ça !!!
On va voir ce que donne ZHPFix !



Ce script va cibler certains éléments à supprimer :

*    Ferme toutes tes applications en cours
*    Sélectionne et copie toutes les lignes en gras et italique suivantes depuis et y compris Script ZHPFIX :


Script ZHPFix
[MD5.00000000000000000000000000000000] [APT] [{C2BB65F9-88B7-4C49-A975-146DAA9DFAFE}] (...) -- C:\Users\Éric\AppData\Roaming\omiga-plus\UninstallManager.exe (.not file.)   [0]
[HKCU\Software\AppDataLow\Software\GenericAddon]
[HKCU\Software\Cores]
[HKCU\Software\HDQuality]
[HKCU\Software\Lasaoren]
C:\Program Files (x86)\Software
C:\Users\Éric\AppData\Local\Software
O45 - LFCP:[MD5.142DBB83E73E87E66E8F2549B31F112E] - 17/11/2014 - 15:34:30 ---A- - C:\Windows\Prefetch\BOBROWSER.EXE-EF096A77.pf
O45 - LFCP:[MD5.6BEB0DC7CF83D91B928A129D25D565FE] - 18/11/2014 - 00:30:27 ---A- - C:\Windows\Prefetch\ISAFE.EXE-01121F30.pf
O45 - LFCP:[MD5.30BC0451650CE398174DF14BEB67080A] - 18/11/2014 - 00:33:15 ---A- - C:\Windows\Prefetch\ISAFETRAY.EXE-AE4472A8.pf
O45 - LFCP:[MD5.F067AB88D7AD25A39F10D8E9C4C7700B] - 17/11/2014 - 15:11:43 ---A- - C:\Windows\Prefetch\PREDM.TMP-29A57E64.pf
O45 - LFCP:[MD5.7E5FD5A8A54D2144B75DEDF0EA227911] - 17/11/2014 - 15:12:53 ---A- - C:\Windows\Prefetch\SIGNUP WIZARD.EXE-F8807476.pf
O45 - LFCP:[MD5.16AF8DA0D0BD340470030E762E1D95A6] - 17/11/2014 - 15:21:35 ---A- - C:\Windows\Prefetch\SMARTBAR.EXE-7919D59D.pf
O45 - LFCP:[MD5.36C0110674F7BDB23D2C83AC799F3111] - 17/11/2014 - 15:22:11 ---A- - C:\Windows\Prefetch\T3NEWPLAYERX28.EXE-973F8696.pf
O45 - LFCP:[MD5.B5F7B636C7367BB1751DA3B65050FE71] - 17/11/2014 - 15:17:07 ---A- - C:\Windows\Prefetch\UNINSTALL BUBBLE DOCK.EXE-045763B0.pf
O45 - LFCP:[MD5.6D503FFEEC9E8DB589507C963F393A7A] - 17/11/2014 - 15:17:13 ---A- - C:\Windows\Prefetch\UNINSTALL BUBBLE DOCK.EXE-2697CE2E.pf
O45 - LFCP:[MD5.526287583B260C10D4C16745792F34C6] - 17/11/2014 - 15:07:29 ---A- - C:\Windows\Prefetch\UPMBOT_FR_278.EXE-96445C68.pf
O45 - LFCP:[MD5.820339C37E2266406BD1C23171E84DF0] - 18/11/2014 - 00:20:39 ---A- - C:\Windows\Prefetch\YET_ANOTHER_CLEANER_SK.EXE-51A74769.pf
O61 - LFC: 17/11/2014 - 22:54:29 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\904Btmp\fastplayersetup.exe   [13088476]
O61 - LFC: 17/11/2014 - 22:54:29 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\904Dtmp\5555-1001_newplayer.exe   [3920256]
O61 - LFC: 17/11/2014 - 22:54:29 ---A- . (.JWTab.) -- C:\Users\Éric\AppData\Local\Temp\904Etmp\lly_omiga-plus.exe   [290696]
O61 - LFC: 17/11/2014 - 22:54:33 ---A- . (.The Software Group.) -- C:\Users\Éric\AppData\Local\Temp\9052tmp\boxoreinstaller.exe   [620656]
O61 - LFC: 17/11/2014 - 22:54:34 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\9053tmp\mybestofferstoday.exe   [3387472]
O61 - LFC: 17/11/2014 - 22:54:37 ---A- . (.globalUpdate.) -- C:\Users\Éric\AppData\Local\Temp\comh.29578\GoogleCrashHandler.exe   [72872]
O61 - LFC: 17/11/2014 - 22:54:37 ---A- . (.globalUpdate.) -- C:\Users\Éric\AppData\Local\Temp\comh.29578\GoogleUpdate.exe   [68608]
O61 - LFC: 17/11/2014 - 22:54:37 ---A- . (.globalUpdate.) -- C:\Users\Éric\AppData\Local\Temp\comh.29578\GoogleUpdateBroker.exe   [46080]
O61 - LFC: 17/11/2014 - 22:54:37 ---A- . (.globalUpdate.) -- C:\Users\Éric\AppData\Local\Temp\comh.29578\GoogleUpdateOnDemand.exe   [46080]
O61 - LFC: 17/11/2014 - 22:54:37 ---A- . (.globalUpdate.) -- C:\Users\Éric\AppData\Local\Temp\comh.29578\goopdate.dll   [761856]
O61 - LFC: 17/11/2014 - 22:54:37 ---A- . (.globalUpdate.) -- C:\Users\Éric\AppData\Local\Temp\comh.29578\goopdateres_en.dll   [26792]
O61 - LFC: 17/11/2014 - 22:54:37 ---A- . (.globalUpdate.) -- C:\Users\Éric\AppData\Local\Temp\comh.29578
pGoogleUpdate4.dll   [220672]
O61 - LFC: 17/11/2014 - 22:54:37 ---A- . (.globalUpdate.) -- C:\Users\Éric\AppData\Local\Temp\comh.29578\psmachine.dll   [155648]
O61 - LFC: 17/11/2014 - 22:54:37 ---A- . (.globalUpdate.) -- C:\Users\Éric\AppData\Local\Temp\comh.29578\psuser.dll   [155648]
O61 - LFC: 17/11/2014 - 22:54:37 ---A- . (.globalUpdate.) -- C:\Users\Éric\AppData\Local\Temp\comh.333623\GoogleCrashHandler.exe   [72872]
O61 - LFC: 17/11/2014 - 22:54:37 ---A- . (.globalUpdate.) -- C:\Users\Éric\AppData\Local\Temp\comh.333623\GoogleUpdate.exe   [68608]
O61 - LFC: 17/11/2014 - 22:54:37 ---A- . (.globalUpdate.) -- C:\Users\Éric\AppData\Local\Temp\comh.333623\GoogleUpdateBroker.exe   [46080]
O61 - LFC: 17/11/2014 - 22:54:37 ---A- . (.globalUpdate.) -- C:\Users\Éric\AppData\Local\Temp\comh.333623\GoogleUpdateOnDemand.exe   [46080]
O61 - LFC: 17/11/2014 - 22:54:37 ---A- . (.globalUpdate.) -- C:\Users\Éric\AppData\Local\Temp\comh.333623\goopdate.dll   [761856]
O61 - LFC: 17/11/2014 - 22:54:37 ---A- . (.globalUpdate.) -- C:\Users\Éric\AppData\Local\Temp\comh.333623\goopdateres_en.dll   [26792]
O61 - LFC: 17/11/2014 - 22:54:37 ---A- . (.globalUpdate.) -- C:\Users\Éric\AppData\Local\Temp\comh.333623
pGoogleUpdate4.dll   [220672]
O61 - LFC: 17/11/2014 - 22:54:37 ---A- . (.globalUpdate.) -- C:\Users\Éric\AppData\Local\Temp\comh.333623\psmachine.dll   [155648]
O61 - LFC: 17/11/2014 - 22:54:37 ---A- . (.globalUpdate.) -- C:\Users\Éric\AppData\Local\Temp\comh.333623\psuser.dll   [155648]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI541D.tmp-\Smartbar.Common.dll   [11776]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI541D.tmp-\Smartbar.GUI.Controls.dll   [698368]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI541D.tmp-\Smartbar.GUI.Docking.dll   [75264]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI541D.tmp-\Smartbar.Infrastructure.BusinessEntities.dll   [7168]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI541D.tmp-\Smartbar.Infrastructure.Utilities.dll   [159232]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI541D.tmp-\Smartbar.Installer.CustomActions.dll   [239616]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI541D.tmp-\Smartbar.Monetization.Proxy.ProxyService.dll   [31232]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI541D.tmp-\Smartbar.Personalization.Common.dll   [10240]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI541D.tmp-\Smartbar.Resources.HistoryAndStatsWrapper.dll   [148992]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI541D.tmp-\Smartbar.Resources.LanguageSettings.dll   [46080]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI541D.tmp-\Smartbar.Resources.LanguageSettings.resources.dll   [32768]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI541D.tmp-\Smartbar.Resources.SocialNetsSharer.XmlSerializers.dll   [40960]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI541D.tmp-\Smartbar.Resources.SocialNetsSharer.dll   [18432]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI541D.tmp-\Smartbar.Resources.Translations.dll   [312320]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI622D.tmp-\Smartbar.Common.dll   [11776]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI622D.tmp-\Smartbar.GUI.Controls.dll   [698368]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI622D.tmp-\Smartbar.GUI.Docking.dll   [75264]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI622D.tmp-\Smartbar.Infrastructure.BusinessEntities.dll   [7168]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI622D.tmp-\Smartbar.Infrastructure.Utilities.dll   [159232]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI622D.tmp-\Smartbar.Installer.CustomActions.dll   [239616]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI622D.tmp-\Smartbar.Monetization.Proxy.ProxyService.dll   [31232]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI622D.tmp-\Smartbar.Personalization.Common.dll   [10240]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI622D.tmp-\Smartbar.Resources.HistoryAndStatsWrapper.dll   [148992]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI622D.tmp-\Smartbar.Resources.LanguageSettings.dll   [46080]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI622D.tmp-\Smartbar.Resources.LanguageSettings.resources.dll   [32768]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI622D.tmp-\Smartbar.Resources.SocialNetsSharer.XmlSerializers.dll   [40960]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI622D.tmp-\Smartbar.Resources.SocialNetsSharer.dll   [18432]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSI622D.tmp-\Smartbar.Resources.Translations.dll   [312320]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSID20D.tmp-\Smartbar.Common.dll   [11776]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSID20D.tmp-\Smartbar.GUI.Controls.dll   [698368]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSID20D.tmp-\Smartbar.GUI.Docking.dll   [75264]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSID20D.tmp-\Smartbar.Infrastructure.BusinessEntities.dll   [7168]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSID20D.tmp-\Smartbar.Infrastructure.Utilities.dll   [159232]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSID20D.tmp-\Smartbar.Installer.CustomActions.dll   [239616]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSID20D.tmp-\Smartbar.Monetization.Proxy.ProxyService.dll   [31232]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSID20D.tmp-\Smartbar.Personalization.Common.dll   [10240]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSID20D.tmp-\Smartbar.Resources.HistoryAndStatsWrapper.dll   [148992]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSID20D.tmp-\Smartbar.Resources.LanguageSettings.dll   [46080]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSID20D.tmp-\Smartbar.Resources.LanguageSettings.resources.dll   [32768]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSID20D.tmp-\Smartbar.Resources.SocialNetsSharer.XmlSerializers.dll   [40960]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSID20D.tmp-\Smartbar.Resources.SocialNetsSharer.dll   [18432]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (...) -- C:\Users\Éric\AppData\Local\Temp\MSID20D.tmp-\Smartbar.Resources.Translations.dll   [312320]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (.Microsoft.) -- C:\Users\Éric\AppData\Local\Temp\MSI541D.tmp-\Smartbar.Communication.NamedPipe.dll   [19968]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (.Microsoft.) -- C:\Users\Éric\AppData\Local\Temp\MSI541D.tmp-\Smartbar.Communication.dll   [12800]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (.Microsoft.) -- C:\Users\Éric\AppData\Local\Temp\MSI622D.tmp-\Smartbar.Communication.NamedPipe.dll   [19968]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (.Microsoft.) -- C:\Users\Éric\AppData\Local\Temp\MSI622D.tmp-\Smartbar.Communication.dll   [12800]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (.Microsoft.) -- C:\Users\Éric\AppData\Local\Temp\MSID20D.tmp-\Smartbar.Communication.NamedPipe.dll   [19968]
O61 - LFC: 17/11/2014 - 22:54:38 ---A- . (.Microsoft.) -- C:\Users\Éric\AppData\Local\Temp\MSID20D.tmp-\Smartbar.Communication.dll   [12800]
O61 - LFC: 17/11/2014 - 22:54:39 ---A- . (.HQuality-1.3V17.11.) -- C:\Users\Éric\AppData\Roaming\DSRC.exe   [1512880]
O61 - LFC: 17/11/2014 - 22:54:39 ---A- . (.browser.) -- C:\Users\Éric\AppData\Roaming\JFKYGGZ.exe   [1961376]
O61 - LFC: 17/11/2014 - 22:54:39 ---A- . (.browser.) -- C:\Users\Éric\AppData\Roaming\JTUTGW.exe   [1479584]
O61 - LFC: 17/11/2014 - 22:54:40 ---A- . (.HQuality-1.3V17.11.) -- C:\Users\Éric\AppData\Roaming\NUBSSQJZ.exe   [1996208]
[MD5.CE7784013F9CED6E522DB9464FEC80BE] [SPRF][17/11/2014] (.HQuality-1.3V17.11 - HQuality-v1.3V17.11 exe.) -- C:\Users\Éric\AppData\Roaming\DSRC.exe   [1512880]
[MD5.6B62CE7A588CDD7EF1DB892CC76574DE] [SPRF][17/11/2014] (.browser - BrowsersAppProPlus-v2.3 exe.) -- C:\Users\Éric\AppData\Roaming\JFKYGGZ.exe   [1961376]
[MD5.0F491220EFC0BF6AC391EAE013BA7B0D] [SPRF][17/11/2014] (.browser - BrowsersAppProPlus-v2.3 exe.) -- C:\Users\Éric\AppData\Roaming\JTUTGW.exe   [1479584]
[MD5.12B74C65B2C8D11150477581C33004B7] [SPRF][17/11/2014] (.HQuality-1.3V17.11 - HQuality-v1.3V17.11 exe.) -- C:\Users\Éric\AppData\Roaming\NUBSSQJZ.exe   [1996208]
[MD5.7C3F19E56B9004360FE64A82FCF28B0B] [WIS][17/11/2014] (.ReSoft Ltd. - Shopping Helper Smartbar.) -- C:\Windows\Installer\13ce31fd.msi   [10903552]
C:\Users\Éric\AppData\Roaming\DSRC.exe
C:\Users\Éric\AppData\Roaming\JFKYGGZ.exe
C:\Users\Éric\AppData\Roaming\JTUTGW.exe
C:\Users\Éric\AppData\Roaming\NUBSSQJZ.exe
C:\Windows\Installer\13ce31fd.msi
ShortcutFix 
CTFFix
HOSTFix
PROXYFix
EmptyFlash
EmptyPrefetch
EmptyTemp
EmptyCLSID


*    Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 ou Windows 8 n'oublie pas clic droit ==> en tant qu'administrateur")
*    Si tu obtiens le message "Voulez-vous autoriser le programme suivant..."Tu réponds "Oui"
*    Clique sur le bouton "IMPORTER"
*    Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

*    Clique sur le bouton «GO» pour le lancer le nettoyage
*    A la demande, confirme le nettoyage des données en cliquant sur [OK]
*    Patiente le temps du traitement.
*    ZHPFix va te demander si tu souhaites vider ta corbeille, clique sur ton choix (le traitement peut être long suivant la quantité de données à supprimer)
*    Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau
*    Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R1].txt
*    Copie/colle la totalité du rapport dans ta prochaine réponse

A+

cabrier · Answer

Bien,


On contrôle avec un nouveau ZHPDiag stp !

A+

cabrier · Answer

grigri, c'est mieux !!!


Si tu as Windows Defendeur actif tu n'as pas besoin d'un autre antivirus, dans ce cas désinstalle Mc Afee qui, en plus, n'est pas à jour !



Encore un peu de nettoyage.

Ce script va cibler certains éléments à supprimer :

*    Ferme toutes tes applications en cours
*    Sélectionne et copie toutes les lignes en gras et italique suivantes depuis et y compris Script ZHPFIX :


Script ZHPFix
O43 - CFD: 17/11/2014 - 15:09:50 - [] ----D C:\ProgramData\2355320829
O39 - APT:  - (..) -- C:\Windows\Tasks\DSRC.job   [1340]
O39 - APT:  - (..) -- C:\Windows\Tasks\JFKYGGZ.job   [1690]
O39 - APT:  - (..) -- C:\Windows\Tasks\JTUTGW.job   [1344]
O39 - APT:  - (..) -- C:\Windows\Tasks\NUBSSQJZ.job   [1692]
O43 - CFD: 17/11/2014 - 15:24:30 - [] -SH-D C:\Users\Éric\AppData\Local\EmieBrowserModeList
OPT:O4 - HKLM\..\Wow6432Node\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe
OPT:O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
OPT:SR - | Auto 30/08/2011 462184 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
O2 - BHO: MSS+ Identifier [64Bits] - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} . (.McAfee, Inc. - Quick Browser Identifier for MSS+ Tool.) -- C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll    
EmptyPrefetch
EmptyTemp
EmptyCLSID



*    Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 ou Windows 8 n'oublie pas clic droit ==> en tant qu'administrateur")
*    Si tu obtiens le message "Voulez-vous autoriser le programme suivant..."Tu réponds "Oui"
*    Clique sur le bouton "IMPORTER"
*    Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

*    Clique sur le bouton «GO» pour le lancer le nettoyage
*    A la demande, confirme le nettoyage des données en cliquant sur [OK]
*    Patiente le temps du traitement.
*    ZHPFix va te demander si tu souhaites vider ta corbeille, clique sur ton choix (le traitement peut être long suivant la quantité de données à supprimer)
*    Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau
*    Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R1].txt
*    Copie/colle la totalité du rapport dans ta prochaine réponse


-----------------------------------

Les programmes que nous avons utilisés ne doivent pas être conservés. 
Beaucoup d'entre eux peuvent être dangereux et entrainer des dommages irréversibles sur ton système s'ils sont utilisés sans l'aide d'une personne qualifiée, de plus, fréquemment modifiés et mis à jour par leurs auteurs ils deviennent très rapidement obsolètes, en plus d'encombrer inutilement ton bureau.

1. Désinstallation des outils et purge de la Restauration système

- Télécharge DelFix (d'Xplode) sur ton bureau. 
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur) 
- Sélectionne "Réactiver l'UAC" 
- Sélectionne "Supprimer les outils de désinfection" 
- Sélectionne également "Purger la restauration système"
- Clique sur "Exécuter"
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Attention : Chaque fois que tu relances Delfix le rapport précédent est supprimé, alors ne l'exécute qu'une fois avec les options cochées.

2. Pense à marquer le fil comme résolu !
résolu



@+



A+ 
 
--------Contributeur Sécurité---------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

cabrier · Answer

grigri,


Prévention :

1-les Infections :
{https://forum.malekal.com/viewtopic.php?t=3259&start= Pourquoi et comment je me fais infecter ? (par Malekal_morte)]
les PUPs
les Toolbars


2-Des infos officielles et un petit test :
un_petit_test


3-Lire AVANT de cliquer :
-- il faut absolument faire attention lors de l'installation de logiciels. Ne télécharger les programme qu'à partir de sources sures, autant que possible sur le site de l'éditeur et SURTOUT lire et comprendre ce que vous proposent les différentes fenêtres qui vont s'ouvrit (Attention aux cases qu'il faut cocher ou décocher !!!)
A ce propos il existe un petit programme qui devrait éviter ce genre de pollution. Il s'appelle unchecky ! A toi de voir son utilité mais il vaut mieux lire AVANT de cliquer ! 


4-Pour vérifier que tes programmes sont à jour :
*    Télécharge  : Update Checker
*    Lance-le (Sous Vista/7, fais un clic droit et choisis "Exécuter en tant qu'administrateur")
*   Installe-le (le logiciel est parfois en anglais)(décoche « run at startup » lors de l'installation)
*   Le logiciel vérifie tes programmes et t'annonce s'il y a des mises à jour
*    Si c'est le cas, télécharge les mises à jour
*    n'hésite pas à utiliser ce programme régulièrement


5-Les pratiques à éviter
le_P2P
cracks ou keygens


6-Pour résumer :
* Installe un Pare-feu
* Vaccine tes clés USB (USBFix)
* Surfe avec un compte utilisateur et pas Administrateur
* Veille aux mises à jour (Windows, Navigateur, Java, Adobe Flash Player, Adobe Reader) et en général tous programmes,
* Installe sur ton navigateur (WOT, AdBlock +)
* Télécharge uniquement sur les sites des auteurs (éviter 01Net, Softonic...)
* Bannis le P2P, cracks, keygens
* Lis bien le contenu de toutes les fenêtres lorsque tu installe un logiciel.
* Ne clique pas n'importe ou sur une page !


----------------------------------------

Installe java sur ta machine :
https://www.java.com/fr/download/

 

Bon surf !

Lisalily · Answer

Bonjour j'ai également le meme probleme voici le lien 

http://cjoint.com/?3ADoLfBAavD

Problème suppression Zombie invasion

19 réponses

Discussions similaires

Newsletters