Sujet Précédent Sujet Suivant

éliminer rogue

Résolu/Fermé
mich' - 15 févr. 2010 à 23:29
 mich' - 16 févr. 2010 à 23:11
Bonjour,
voici mon rapport d'analyse smitfraudfixSmitFraudFix v2.424

Scan done at 23:16:21,22, 15/02/2010
Run from C:\Users\Moi\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Windows\Explorer.EXE
C:\Program Files\Lexmark 6500 Series\lxdfmon.exe
C:\Program Files\Lexmark 6500 Series\lxdfamon.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Acer Arcade Live\Acer PlayMovie\PMVService.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\SysMonitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Windows\System32\a1duqpcth.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\lxdfcoms.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\1\AlertModule.exe
C:\Windows\system32\msiexec.exe
C:\Windows\System32\svchost.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
\\?\C:\Windows\system32\wbem\WMIADAP.EXE
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\resycled\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Moi


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Moi\AppData\Local\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Moi\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Moi\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="axkexEvus.dll"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Your computer may be victim of a DNS Hijack: 85.255.x.x detected !

Description: Marvell Yukon 88E8056 PCI-E Gigabit Ethernet Controller
DNS Server Search Order: 85.255.112.90
DNS Server Search Order: 85.255.112.134

HKLM\SYSTEM\CCS\Services\Tcpip\..\{04E2543C-71FE-4AF3-B833-82F9D78ECD62}: DhcpNameServer=86.64.145.143 84.103.237.143 84.103.237.146 86.64.145.146
HKLM\SYSTEM\CCS\Services\Tcpip\..\{5980B36A-C000-4D8A-8161-F99D05B431E5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{5980B36A-C000-4D8A-8161-F99D05B431E5}: NameServer=85.255.112.90,85.255.112.134
HKLM\SYSTEM\CCS\Services\Tcpip\..\{B3EEEE7A-E79C-4D6F-A9A4-394892C9276E}: DhcpNameServer=86.64.145.143 84.103.237.143 86.64.145.140 84.103.237.140
HKLM\SYSTEM\CS1\Services\Tcpip\..\{04E2543C-71FE-4AF3-B833-82F9D78ECD62}: DhcpNameServer=86.64.145.143 84.103.237.143 84.103.237.146 86.64.145.146
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5980B36A-C000-4D8A-8161-F99D05B431E5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5980B36A-C000-4D8A-8161-F99D05B431E5}: NameServer=85.255.112.90,85.255.112.134
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B3EEEE7A-E79C-4D6F-A9A4-394892C9276E}: DhcpNameServer=86.64.145.143 84.103.237.143 86.64.145.140 84.103.237.140
HKLM\SYSTEM\CS3\Services\Tcpip\..\{04E2543C-71FE-4AF3-B833-82F9D78ECD62}: DhcpNameServer=86.64.145.143 84.103.237.143 84.103.237.146 86.64.145.146
HKLM\SYSTEM\CS3\Services\Tcpip\..\{5980B36A-C000-4D8A-8161-F99D05B431E5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{5980B36A-C000-4D8A-8161-F99D05B431E5}: NameServer=85.255.112.90,85.255.112.134
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B3EEEE7A-E79C-4D6F-A9A4-394892C9276E}: DhcpNameServer=86.64.145.143 84.103.237.143 86.64.145.140 84.103.237.140
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.90,85.255.112.134
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.90,85.255.112.134
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.112.90,85.255.112.134


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
A voir également:

11 réponses

Réponse 1 / 11
crapoulou Messages postés 28158 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 16 avril 2024 7 990
16 févr. 2010 à 13:32
Arrêtez le carnage !
Vous faites n'importe quoi et je n'accepte pas que hacker13 prenne mes procédures sans demander !
Désinfecter ne s'improvise pas !
Ce n'est pas une machine virtuelle sur laquelle vous travaillez mais sur la machine infectée d'un utilisateur qui tient à son PC et a des données personnelles !
Continuez sur cette voie et vous allez planter le PC !
8
Réponse 2 / 11
crapoulou Messages postés 28158 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 16 avril 2024 7 990
16 févr. 2010 à 13:51 
Malwarebytes qui n'est pas à encore jours

A toi de faire remonter les infos !
http://uploads.malwarebytes.org/

*****

Et le diagnostic dans l'histoire tu le fais quand ?
7
Réponse 3 / 11
crapoulou Messages postés 28158 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 16 avril 2024 7 990
16 févr. 2010 à 00:07
Salut,
Smitfraudfix ayant détecté un élément, il serait bon de l'utiliser malgré tout....
L'option 5 même plus mis à jour traitera l'infection Wareout
MBAM est à passer en fin de désinfection (après avoir réaliser un diagnostic de la machine).
4
mich'
16 févr. 2010 à 12:19
Bonjour à tous et à toutes,
Tout d'abord merci d'avoir répondu aussi vite.
J'ai suivi les instructions telles que : en premier j'ai utilisé Smitfraudfix en suivant la chronologie et ensuite j'ai fait un scan complet avec Malwarebyte's Anti-malware et le résultat final est qu'il à bien détecté 30 virus( dont 3 rogues+qques trojan.
je les ai supprimés ils sont allés en quarantaine puis j'ai supprimé la liste de quarantaine.
Résultat, j'ai toujours les deux véroles!!!!!!!!!!!!!!!!!!!! Ils s'appellent tous deux VIRUS PROTECTOR.
Ils se manifestent de la façon suivante:
Quand j'ouvre IE ou Mozilla une page de cette "merde" s'affiche, qui indique: insecure internet activity threat of virus attack...
D'autre part les symboles de ce VIRUS PROTECTOR s'affiche en bas à droite (barre des taches). Ce "logo" est très ressemblant à celui du centre de sécurité windows, soit la même forme (bouclier) et de même couleurs.

J'aimerai les SUPPRIMER DEFINITIVEMENT!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Merci de votre aide une fois de plus,
à bientôt
0
Réponse 4 / 11
cosmido
16 févr. 2010 à 00:02
bonjur,

L'éditeur de SmitFraudFix ne l'ont plus mis à jours depuis 06-0229.

Téléchargez WORT (dj QUIOU & la Team sécurité MH)
• Double-cliquer sur l'icône Wort.exe
• Suivre les instructions pour installer WORT.
• Cliquer sur WareOut_Removal_Tool.bat et choisir l'option 1.
• Le programme va sauvegarder le registre.
• Suivre attentivement les instructions et appuyer sur une touche à chaques fois que WORT le demande.
>> Le rapport va s'ouvrir, postez-le

Postez le rapport.
___________________________________________

Téléchargez Malwarebytes
• Lancez l'installation,
• Faites la [Mise à jours] de Malwarebytes.
• Dans [Recherche] sélectionnez [Exécuter un examen Complet],

Après le scan;
• Sauvegarder le rapport ..et
• Appuyer sur [Supprimer la sélection] (en bas à droite),
>> Redémarrer si proposé.. <<

Postez le rapport Malwarebytes.
0
mich'
16 févr. 2010 à 14:43
bonjour Cosmido ,

Voici donc le rapport WORT :

===== Rapport WareOut Removal Tool =====

version 3.6.2

analyse effectuée le 16/02/2010 à 14:18:48,71

Résultats de l'analyse :
========================

~~~~ Recherche d'infections dans C:\ ~~~~


~~~~ Recherche d'infections dans C:\Program Files\ ~~~~


~~~~ Recherche d'infections dans C:\Windows\system\ ~~~~


~~~~ Recherche d'infections dans C:\Windows\system32\ ~~~~


~~~~ Recherche d'infections dans C:\Windows\system32\drivers\ ~~~~


~~~~ Recherche d'infections dans C:\Users\Moi\AppData\Roaming\ ~~~~


~~~~ Recherche d'infections dans C:\Users\Moi\Bureau\ ~~~~


~~~~ Recherche de détournement de DNS ~~~~



~~~~ Recherche de Rootkits ~~~~

_______________________________________________________________________

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-16 14:20:32
Windows 6.0.6001 Service Pack 1 NTFS

scanning hidden files ...

scan completed successfully
hidden files: 0

_______________________________________________________________________




~~~~ Recherche d'infections dans C:\Users\Moi\AppData\Local\Temp\ ~~~~


~~~~ Recherche d'infections dans C:\Users\Moi\Start Menu\Programs\ ~~~~


~~~~ Nettoyage du registre ~~~~


~~~~ Tentative de réparation des entrées suivantes: ~~~~

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] = "System"

[HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service]

~~~~ Vérification: ~~~~

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System REG_SZ



_________________________________

développé par http://pc-system.fr
_________________________________


Que dois-je faire pour la suite ? ce satané bouclier est tjrs là et m'empêche de surfer normalement ... j'ai peur de perdre toutes mes données !!!!!!!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 11
Utilisateur anonyme
16 févr. 2010 à 12:21
poste les rapport il y a sans doute autre infection surtout sur tes ports USB donc CE NES PAS FINI
0
mich'
16 févr. 2010 à 13:08
Bonjour Hacker13,

Merci pour ta réponse rapide . Voici donc les rapports d'analyse de SmitFraudFix et MBAM :

SmitFraudFix v2.424

Rapport fait à 12:56:27,29, 16/02/2010
Executé à partir de C:\Users\Moi\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

HKLM\SYSTEM\CCS\Services\Tcpip\..\{04E2543C-71FE-4AF3-B833-82F9D78ECD62}: DhcpNameServer=86.64.145.143 84.103.237.143 84.103.237.146 86.64.145.146

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

HKLM\SYSTEM\CCS\Services\Tcpip\..\{04E2543C-71FE-4AF3-B833-82F9D78ECD62}: DhcpNameServer=86.64.145.143 84.103.237.143 84.103.237.146 86.64.145.146



Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3743
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

16/02/2010 11:16:52
mbam-log-2010-02-16 (11-16-52).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Eléments examinés: 215087
Temps écoulé: 1 hour(s), 0 minute(s), 27 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 23
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 4
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\shoppingreport.hbax (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport.hbax.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport.hbinfoband (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport.hbinfoband.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport.iebutton (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport.iebutton.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport.iebuttona (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport.iebuttona.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport.rprtctrl (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport.rprtctrl.1 (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{8ad9ad05-36be-4e40-ba62-5422eb0d02fb} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{aebf09e2-0c15-43c8-99bf-928c645d98a0} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{cdca70d8-c6a6-49ee-9bed-7429d6c477a2} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{d136987f-e1c4-4ccc-a220-893df03ec5df} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\RegistryDoktorFrNE (Rogue.RegistryDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ShoppingReport (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ESQULserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\701.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\ShoppingReport (Adware.ShopperReports) -> Quarantined and deleted successfully.
C:\Program Files\ShoppingReport\Bin (Adware.ShopperReports) -> Quarantined and deleted successfully.
C:\Program Files\ShoppingReport\Bin\2.5.0 (Adware.ShopperReports) -> Quarantined and deleted successfully.
C:\Program Files\RegistryDoktor 4.1 (Rogue.RegistryDoktor) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Users\Moi\Downloads\Setup.exe (Adware.Seekmo) -> Quarantined and deleted successfully.


Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3743
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

16/02/2010 11:55:03
mbam-log-2010-02-16 (11-55-03).txt

Type de recherche: Examen rapide
Eléments examinés: 103500
Temps écoulé: 6 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 6 / 11
Utilisateur anonyme
16 févr. 2010 à 13:13
Télécharge et installe UsbFix de C_XX & El desaparecido :
= = = = >>> En cliquant ici <<< = = = =

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectés sans les ouvrir !

* Double clique sur le raccourci UsbFix présent sur ton bureau.
* Choisis l’option 1 (Recherche)
* Laisse travailler l’outil.
* Ensuite poste l’intégralité du rapport UsbFix.txt qui apparaîtra.

Notes :
- Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller sur le forum).
- "Process.exe", une composante de l’outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s’agit pas d’un virus, mais d’un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d’où l’alerte émise par ces antivirus.
0
Réponse 7 / 11
cosmido
16 févr. 2010 à 13:19
re..

j'ai supprimé la liste de quarantaine.
Devez redémarrer le PC pour compléter la suppression.
__________________________________________________

Viens de remarquer ce fix. - réf.

Commencez avec ce Fix.
• Télécharger le avec un de ces lien1 ou lien2.
• Double-cliquez sur le fichier télécharger pour lancer la désinfection.

^^ Puisque Malwarebytes n'est pas encore tout à fait upgradé pour toutes ces récente infection. ^^
__________________________________________________

Toujours bien d'avoir un compte rendu de l'utilisateur.
Mais avec le rapport de Malawrebytes, ça ajoute beaucoup d'info.
Postez le . ......dans [Rapports/Logs]
__________________________________________________

Que ce soit avec Wort, SmitFraud Fix ou Malwarebytes.
Les détournements de DNS ont été supprimés !
__________________________________________________

Diagnostiques du PC.

Téléchargez sur votre bureau ZHPDiag de Nicolas Coolman.
• Lancer l'installation de ZHPDiag.exe,
>> Ne modifiez pas les paramètres
>> Après l'installation, ZHPDiag devrait s'ouvrir ..ou faites le,

En haut à gauche ;
• Cliquer sur la LOUPE ..pour créer le rapport.
>> Attendez que le rapport soit complété,
• Cliquer sur la DISQUETTE et sauvegarder le rapport,

Au lieu de postez le rapport directement sur le forum
Utilisez l'hébergeur Cjoint -> Joignez y le fichier(rapport) avec [Parcourrir] -> ensuite appuyer [Créer le lien Cjoint]. Une adresse http//...... sera créé.
Postez le lien http//..... contenant le rapport).
0
mich'
16 févr. 2010 à 15:24
Cosmido,

J'ai effectué le nettoyage grâce au logiciel mis à disposition ( lien 1) . Mon satané rogue est tjrs en place .


Par contre je n'ai pas refait de scan complet comme préconisé, est-ce vraiment important ( sachant que des scans complets sont effectués assez souvent; et surtout que cela demande bcp de tps !!!!)

En revanche s'il s'avère nécessaire pour supprimer cette merde, je suis prêt à le faire .... DIS MOI !
0
mich'
16 févr. 2010 à 15:50
bon viens de telecharger ZHPDIAG, ai effectué les manips conseillés... petit probleme: ton hebergeur ne founit pas de lien ...
0
cosmido > mich'
16 févr. 2010 à 16:36
Bon viens de telecharger ZHPDIAG, ai effectué les manips conseillés... petit probleme: ton hebergeur ne founit pas de lien ...

Si vous avez des difficultés à uploader le fichier du rapport pour créer le lien.
Peut-être qu'en faisant une copie du rapport sur le C:\.., vous auriez plus de facilité à le retracer

Else..
Postez le rapport, en vérifiant qu'il soit complet dans la fenêtre du message.
Possible que la capacité max. de caractères/lignes que peut contenir un message, est limité. ?!
Si le message ne pouvait prendre tout le rapport (qui serait trop long)
Placez la portion manquante, sur un autre message de suite après.
merci.
0
mich' > cosmido
16 févr. 2010 à 23:05
Bonjour Cosm
0
mich' > cosmido
16 févr. 2010 à 23:11
bonjour Cosmido,

Après divers manips conseillées et uploads de logiciels divers et variés, je me suis dis qu'une restauration de système pourrait régler mon problème. Ce que je fis... et ho ! miracle !!, plus de rogue, plus de roockit ni de vers quelconques...

Merci les gars pour votre assistance .
0
Réponse 8 / 11
cosmido
16 févr. 2010 à 13:29
..
.

Hacker13
C'est quoi votre référence pour faire utiliser UsbFix à mich' ..
0
Réponse 9 / 11
Utilisateur anonyme
16 févr. 2010 à 13:31
de quoi ? je suspecte ses support usb d'être infecter ou est le problème
0
Réponse 10 / 11
cosmido
16 févr. 2010 à 13:49
mich'
Faites les procédures du message 7 et posté les rapports.

Crapoulou,
Le message : insecure internet activity threat of virus attack...
Fait référence à un rogue.
Malwarebytes qui n'est pas à encore jours, avec tout ces rogues qui viennent d'arriver tout récemment.
Le fix proposé, bien qu'à une de mes première essai, semble prometteur.
....Un nerd et asiatique avec ça. Y a du ce la faire aller la machine virtuelle !!
Sinon le rapport ZHPDiag va tout montrer ce qu'il y a à éradiquer.

Et avec la collection d'adware (ou s'il y avaient eu autre chose..) sur le rapport Malwarebytes.
Même si Malwarebytes est utiliser en premier.
Ont a toujours la possibilité après, de lancer des Ad-remover, pour un checkup des Adware, comme le propose déjà le rapport.
Ou un Navilog1, le cas échéant, ne serait-ce que pour le Certificats
etc.

Perso. je favorise la pré-désinfection en premier et complète par la suite avec les outil spécifique nécessaires.
0
Réponse 11 / 11
cosmido
16 févr. 2010 à 14:01
Crapouloux a écrit :
Malwarebytes qui n'est pas à encore jours

A toi de faire remonter les infos !
http://uploads.malwarebytes.org/

*****
Et le diagnostic dans l'histoire tu le fais quand ?

(i) Y arrivent (leurs upgrade) toutes ensembles, comme si c'était la saison de rogues.

(ii) Le premier message posté ; la pré-désinfection
Et le second "#7" ; un guess avec le nerd et une commande de placé pour un rapport ZHPDiag.
0

Discussions similaires

Harry Potter
louloutte27089 -
Livine -

5 réponses
George Wassouf parle de son fils (2008)
momo -
houssem.tito -

2 réponses
Rogue
wuizak -
devilseyes -

1 réponse
que faut-il faire avoir battu Rogue???
melina-51 -
kevin -

2 réponses