Demande de lien : WinFileReplace de LoupBlancRésolu/Fermé

Question

Bonjour, 

Mon fichier c:\windows\system32\userinit.exe est je pense infecté, j'ai lu par ci par là que je pouvais le réparer avec le logiciel "WinFileReplace" de LoupBlanc, mais malheureusement celui ci est introuvable. J'ai essayé de le télécharger mais les liens n'aboutissent à rien. 

Ce serait donc assez sympa si quelqu'un pouvait m'indiquer où télécharger ce logiciel. :)
Merci d'avance.

Xplode · Answer

Salut,

Qui te dis que ton fichier est patché? Tu as des symptômes?

Celtray · Answer

Enfaite à chaque fois, au moment du lancement de Windows (quand je me connecte à ma session) Antivir me signal 4 ou 5 fois que j'ai un virus "C:\Documents and Settings\khal\Local Settings\Application Data\Windows Server\mwkapm.dll", le supprimer et le mettre en quarantaine n'a aucun effet, à chaque démarrage il est présent.

Alors j'ai téléchargé un antirootkit du nom de UnHackMe qui m'a indiqué que userinit.exe était infecté. Il m'a proposé de l'éliminer, j'ai accepté (même si ensuite j'ai lu que c'était pas une bonne idée...) mais ça n'a eu aucun effet et à chaque scan il me signal qu'il est encore là.

Donc je pense que userinit.exe est en relation avec mwkapm.dll... 

Autre chose, ça fait un moment que j'ai un autre virus qui parasite mes recherches google en me redirigeant vers des pages de téléchargement de trojans (camouflé en antimalware), j'ai réussi à m'en débarrasser avec Combofix mais il vient de faire un comeback (ce matin). 

J'ai alors encore pensé que tout était de la faute du userinit.exe infecté. 

Voila. :)

Xplode · Answer

Ok ! Merci pour toutes ces précisions. J'ai déjà une petite idée de la bestiole qui parasite ton PC mais je préfère être sûr :

-+-+-+-+-> ZHPDiag <-+-+-+-+-


[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

[x] Exécute l'installateur ( /!\ Coche la case " créer une icône sur le bureau /!\ ) puis lance le une fois l'installation terminée.

[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

[x] Rend toi sur cjoint puis clique sur " Choisissez un fichier ".

[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.

Celtray · Answer

Merci énormément de ton aide au passage. :) 

Sinon j'en suis au point de "cliquer sur l'icône en forme de loup" et pendant le diagnostic un message d'erreur indique "Indice de liste hors limites (5)" ... c'est normal?

EDIT : Enfaite à chaque fois que j'arrive à 20% il y a ce bug et ça n'avance plus...

Xplode · Answer

Re,

Tu as windows XP / Vista / 7 ?

Si tu as vista / 7 , lance le en tant qu'administrateur ( clic droit -> exécuter en tant qu'administrateur )

Celtray · Answer

A vrai dire mon cher, j'ai Windows XP.

Xplode · Answer

Essaie en le désinstallant/réinstallant.

Si vraiment ca ne fonctionne pas, fais ceci :

-+-+-+-+-> RSIT <-+-+-+-+-


[x] Télécharge RSIT ( de random/random ) sur ton bureau.

[x] Lance le ( Utilisateurs de vista/seven -> Clic droit puis [Exécuter en tant qu'administrateur] )

[x] Clique sur [Continue] à l'écran disclaimer. Hijackthis va être téléchargé et tu devras accepter la license.

[x] Une fois l'analyse terminée, deux rapports s'ouvriront ( log.txt et info.txt ).

[x] Rends toi sur cjoint.

Note : Les deux fichiers sont sauvegardés dans le dossier C:\rsit.

[x] Clique sur [Choisissez un fichier] et séléctionne le fichier log.txt.

[x] Clique ensuite sur [Ouvrir] puis sur [Créer le lien cjoint].

[x] Renouvelle l'opération mais cette fois ci avec le fichier info.txt.

[x] Poste les deux liens cjoint créés dans ta prochaine réponse.

Note : un tutoriel est disponible ici.

Celtray · Answer

Oki, j'ai fais selon ton deuxième tuto, vu que ZH(je ne sais quoi) n'a pas marché. :/ 

Premier lien : 
http://cjoint.com/data/hcsnEDMdl8.htm

Deuxième lien : 
http://cjoint.com/data/hcsn7lhrlX.htm

Xplode · Answer

Re, -+-+-+-+-> USBFix <-+-+-+-+- Note : Ton PC est victime d'une infection par médias amovibles. Tu trouveras plus d'informations sur cette infection ici. [x] Télécharge USBfix ( d'El desaparecido et C_XX ) sur ton bureau. [x] Si ton anvirus affiche une alerte, ignore le et désactive le momentanément. [x] Branche tout tes médias amovibles à ton PC ( Clé USB, disque dur externe, carte SD etc.. ) sans les ouvrir. [x] Exécute USBfix sur ton bureau puis clique sur " Suppression ". [x] Patiente pendant le scan. Un rapport s'ouvrira, copie/colle son contenu dans ton prohain message. Notes : Le rapport est également sauvegardé à la racine du disque dur ( généralement C:\ ) Un tutoriel en images est disponible ici. -+-+-+-+-> AD-Remover <-+-+-+-+- [x] Télécharge AD-Remover ( de C_XX ). [x] Lance AD-Remover puis choisis l'option " Nettoyer ". Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur " [x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message [x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt

Celtray · Answer

############################## | UsbFix 7.015 | [Recherche]

Utilisateur: khal (Administrateur) # USER-B4205F75DF [ ]
Mis à jour le 01/07/10 par El Desaparecido / C_XX
Lancé à 19:05:41 | 02/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Genuine Intel(R) CPU T2300 @ 1.66GHz
CPU 2: Genuine Intel(R) CPU T2300 @ 1.66GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.13

Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
Firewall: ZoneAlarm Firewall 7.0.483.000 [Enabled]
RAM -> 2046 Mo 
C:\ (%systemdrive%) -> Disque fixe # 78 Go (17 Go libre(s) - 22%) [Windows] # NTFS
D:\ -> Disque amovible # 4 Go (1 Go libre(s) - 36%) [Skeith] # FAT32
E:\ -> Disque fixe # 200 Go (4 Go libre(s) - 2%) [Documents] # NTFS
F:\ -> CD-ROM

################## | Éléments infectieux |

Présent! C:\WINDOWS\explorer.exe:userini.exe

################## | Registre |

Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFind
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|FrameWorkService
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|FrameWorkService

################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |














======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 23/06/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:14:53 le 02/07/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
khal@USER-B4205F75DF ( ) 
 
============== ACTION(S) ==============

Service: "ASKService" Stoppé et supprimé 
Service: "ASKUpgrade" Stoppé et supprimé 

0,Dossier supprimé: C:\Documents and Settings\khal\Application Data\Mozilla\FireFox\Profiles\snmiifgs.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
0,Dossier supprimé: C:\Program Files\AskBarDis

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
1,Clé supprimée: HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
1,Clé supprimée: HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
1,Clé supprimée: HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
1,Clé supprimée: HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton
0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton.1
0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl
0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl.1
0,Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin
0,Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin.1
0,Clé supprimée: HKLM\Software\AskBarDis
0,Clé supprimée: HKLM\Software\AppDataLow\AskBarDis
0,Clé supprimée: HKCU\Software\AppDataLow\AskBarDis
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1

0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.6 (fr)] **

-- C:\Documents and Settings\khal\Application Data\Mozilla\FireFox\Profiles\snmiifgs.default\Prefs.js --
browser.download.lastDir, E:\A emporter\MES DOCUMENTS
browser.startup.homepage, google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.6

-- C:\Documents and Settings\Invité\Application Data\Mozilla\FireFox\Profiles\ip428ky3.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\Invité\Bureau
browser.startup.homepage_override.mstone, rv:1.9.2.3

========================================

** Internet Explorer Version [7.0.5730.13] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 42 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 02/07/2010 (3362 Octet(s)) 

Fin à: 19:30:53, 02/07/2010 
 
============== E.O.F ============== 














Voila! :)
Hmmm... sinon au cas ou ça pourrait être utile, j'ai redémarré comme conseillé après le nettoyage et le virus qu'Avira me supprime à chaque fois est toujours présent (C:\Documents and Settings\khal\Local Settings\Application Data\Windows Server\mwkapm.dll).

Xplode · Answer

Re,

Tu as lancé USBFix option recherche et non suppression comme je te l'avais demandé.

Celtray · Answer

Xplode · Answer

C'est le bon.

Désinstalle combofix :

Clique sur démarrer -> exécuter puis tapes " combofix /uninstall " ( sans les guillemets ) puis valide en cliquant sur [Ok]

Puis fais ceci :

-+-+-+-+-> ComboFix <-+-+-+- 


[x] Télécharge ComboFix ( de sUBs ) à cette adresse. 

[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\ 

[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\ 

[x] Double clique sur " Combofix.exe " 

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le 

[x] Pendant le scan, ne touche à rien ( souris, clavier ) 

[x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.

Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

Celtray · Answer

Re, quand je suis revenu sur mon PC j'ai trouvé un écran bleu de bug, j'ai du redémarrer manuellement avec le bouton. 

D'ailleurs ça m'avait fait la même chose à ma dernière utilisation de combofix. 

Et je ne trouve pas de log en .txt mais un dossier étrange nommé Combofix avec en icone un écran (comme celui du poste de travail) et quand je clic dessus ça me dirige sur le poste de travail.

EDIT : Ah oui, quand j'ai lancé Combofix celui ci m'a signalé un truc du genre "Parasite trouvé : mwkapm.dll a tenté de se lier à Combofix". 
Un rapport?

Celtray · Answer

Durant le scan de SEAF, Avira a détecté le virus mwkapm.dll.vir et j'ai fais supprimer... était-ce la bonne chose à faire ou devrais-je refaire un scan?

En tout cas voila le rapport en l'état... j'espère ne pas avoir fait de conneries. :p





1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. Commencé à: 13:36:02 le 03/07/2010
4. 
5. Valeur(s) recherchée(s):
6. 
7. mwkapm.dll
8. 
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Affichage des ADS
11. (!) --- Recherche registre
12. 
13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
14. 
15. "c:\Documents and Settings\khal\Local Settings\Application Data\Windows Server\mwkapm.dll.vir" [ ----A---- | 3072 ]
16. TC: 13/04/2008,18:33:50 | TM: 13/04/2008,18:33:50 | DA: 02/07/2010,23:51:22
17. MD5: DENIED
18. 
19. /!\ ADS: Le fichier spécifié est introuvable. ,  Byte(s)
20. 
21. =========================
22. 
23. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
24. 
25. Aucun dossier trouvé
26. 
27. 
28. ====== Entrée(s) du registre ======
29. 
30. 
31. 
32. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls]
33. "AppSecDll"="C:\Documents and Settings\khal\Local Settings\Application Data\Windows Server\mwkapm.dll"
34. 
35. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\AppCertDlls]
36. "AppSecDll"="C:\Documents and Settings\khal\Local Settings\Application Data\Windows Server\mwkapm.dll"
37. 
38. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls]
39. "AppSecDll"="C:\Documents and Settings\khal\Local Settings\Application Data\Windows Server\mwkapm.dll"
40. 
41. =========================
42. 
43. Fin à: 13:41:05 le 03/07/2010 ( E.O.F )

Xplode · Answer

C'est la bonne chose ;)

Essaie maintenant de relancer combofix.

Xplode · Answer

Ok, laisse tomber combofix. Fais ceci à la place :

-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-


[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "

[x] Sélectionne tout tes disques locaux et amovibles

[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.

[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".

[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

[x] Tu peux ensuite vider la quarantaine de MBAM.

[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.

Celtray · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4266

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

03/07/2010 19:44:32
mbam-log-2010-07-03 (19-44-32).txt

Type d'examen: Examen complet (C:\|E:\|)
Elément(s) analysé(s): 308306
Temps écoulé: 1 heure(s), 41 minute(s), 55 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\appsecdll (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\khal\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\f_00043f (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Prefetch\EXPLORER.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

Xplode · Answer

Ok, ca m'a l'air pas mal :)

Refais USBFix option " Recherche " uniquement
Puis un nouveau ZHPDiag pour faire le point

Celtray · Answer

############################## | UsbFix 7.015 | [Recherche]

Utilisateur: khal (Administrateur) # USER-B4205F75DF [ ]
Mis à jour le 01/07/10 par El Desaparecido / C_XX
Lancé à 21:44:59 | 03/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Genuine Intel(R) CPU T2300 @ 1.66GHz
CPU 2: Genuine Intel(R) CPU T2300 @ 1.66GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.13

Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
Firewall: ZoneAlarm Firewall 7.0.483.000 [Enabled]
RAM -> 2046 Mo 
C:\ (%systemdrive%) -> Disque fixe # 78 Go (17 Go libre(s) - 21%) [Windows] # NTFS
E:\ -> Disque fixe # 200 Go (4 Go libre(s) - 2%) [Documents] # NTFS
F:\ -> CD-ROM

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |






http://cjoint.com/data/heasiHehQP.htm





Voila chose faite. :D

Xplode · Answer

Salut,

Tu as beaucoup trop de logiciels de sécurité installés, ca sert à rien à part ralentir ton PC.

Ad-aware -> poubelle
Spybot -> poubelle

Puis fais ceci :

-+-+-+-+-> ZHPFix <-+-+-+-+-


/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".

[x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok]


O44 - LFC:[MD5.81051BCC2CF1BEDF378224B0A93E2877] - 02/07/2010 - 14:07:48 RSHA- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\winstart.bat   [2]
O44 - LFC:[MD5.AE601DA738E31992733A9AB562D1369E] - 02/07/2010 - 20:39:34 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\UsbFix_Upload_Me_USER-B4205F75DF.zip   [3305]
O44 - LFC:[MD5.322DA62EBDEEC4DEC93BBD567F2A281B] - 02/07/2010 - 14:07:11 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\guard.bmp   [57556]
O63 - Logiciel: Usbfix By C_XX & El Desaparecido - (.C_XX & El Desaparecido.)
[MD5.5036CA3F9101DF26931F177746A7F7DE] - (.AnchorFree Inc. - Pas de description.) -- C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe   [348208]
O23 - Service: Hotspot Shield Helper Service (HssSrv) . (.AnchorFree Inc. - Pas de description.) - C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe
[HKCU\Software\HotspotShield]   
O64 - Services: CurCS - C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe - Hotspot Shield Helper Service (HssSrv)  .(.AnchorFree Inc. - Pas de description.) - LEGACY_HSSSRV
O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} () - (.not file.) -  
O44 - LFC:[MD5.8B977BC96C0B15C1C04547183ED9D05D] - 02/07/2010 - 19:30:53 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-CLEAN[1].txt   [5174]  
O46 - SEH:ShellExecuteHooks - ShellObj Class - {F552DDE6-2090-4bf4-B924-6141E87789A5} - C:\PROGRA~1\Greatis\REGRUN~1\RRShell.dll    



[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]

[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

Celtray · Answer

Rapport de ZHPFix v1.12.3111 par Nicolas Coolman, Update du 29/06/2010
Fichier d'export Registre : C:\ZHPExportRegistry-04-07-2010-21-12-48.txt
Run by khal at 04/07/2010 21:12:48
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

---\ Processus mémoire :
C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe [348208]  => Supprimé et mis en quarantaine

---\ Clé du Registre :
O23 - Service: Hotspot Shield Helper Service (HssSrv) . (.AnchorFree Inc. - Pas de description.) - C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe  => Clé supprimée avec succès
HKCU\Software\HotspotShield  => Clé supprimée avec succès
O64 - Services: CurCS - C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe - Hotspot Shield Helper Service (HssSrv) .(.AnchorFree Inc. - Pas de description.) - LEGACY_HSSSRV  => Clé supprimée avec succès
O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} () - (.not file.) -  => Clé supprimée avec succès
[HKLM\SOFTWARE\Classes\CLSID\{F552DDE6-2090-4bf4-B924-6141E87789A5}]  => Clé supprimée avec succès
[HKCR\CLSID\{F552DDE6-2090-4bf4-B924-6141E87789A5}]  => Clé supprimée avec succès

---\ Valeur du Registre :
O46 - SEH:ShellExecuteHooks - ShellObj Class - {F552DDE6-2090-4bf4-B924-6141E87789A5} - C:\PROGRA~1\Greatis\REGRUN~1\RRShell.dll  => Valeur supprimée avec succès

---\ Dossier :
C:\UsbFix  => Supprimé et mis en quarantaine

---\ Fichier :
c:\windows\winstart.bat  => Supprimé et mis en quarantaine
c:\usbfix_upload_me_user-b4205f75df.zip  => Supprimé et mis en quarantaine
c:\windows\guard.bmp  => Supprimé et mis en quarantaine
c:\documents and settings\khal\bureau\usbfix.exe  => Supprimé et mis en quarantaine
c:\ad-report-clean[1].txt  => Supprimé et mis en quarantaine
c:\progra~1\greatisegrun~1rshell.dll  => Supprimé et mis en quarantaine

---\ Logiciel :
O63 - Logiciel: Usbfix By C_XX & El Desaparecido - (.C_XX & El Desaparecido.)  => Logiciel supprimé avec succès


---\ Récapitulatif :
Processus mémoire : 1
Clé du Registre : 6
Valeur du Registre : 1
Dossier : 1
Fichier : 6
Logiciel : 1


End of the scan

Xplode · Answer

Ok :)
Un nouveau rapport ZHPDiag maintenant, on arrive au bout.

Xplode · Answer

Ok, c'est clean. Par contre tu as encore des traces de spybot, donc supprime ce dossier : C:\Program Files\Spybot - Search & Destroy Ensuite désinstalle combofix comme ceci : -> Clique sur démarrer -> exécuter et tapes " combofix /uninstall " ( sans les guillemets ) -> Valide en cliquant sur [Ok] Et enfin ceci : -+-+-+-+-> Mise à jour du PC <-+-+-+-+- [x] Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant. 1ère étape : Adobe Reader [x] Si tu utilises adobe reader, il est important qu'il soit à jour. [x] Si il n'est pas à jour, certains programmes malveillants peuvent exploiter différentes failles et infecter ton PC ( Voir [ici ) [x] Pour vérifier qu'adobe reader est à jour, lance le puis clique sur [Aide] -> [Rechercher les mises à jour] 2ème étape : Internet Explorer [x] Même si tu n'utilises pas Internet Explorer pour naviguer, il est important de le mettre à jour ! [o] Télécharge Internet Explorer 8 puis installe le. -+-+-+-+-> Toolscleaner <-+-+-+-+- [x] Télécharge ToolsCleaner ( d'A.Rothstein & Dj Quiou ) sur ton bureau. /!\ Utilisateurs de vista/seven , faites un clic droit sur l'icône de toolscleaner puis " Exécuter en tant qu'administrateur " /!\ [x] Lance le puis clique sur [Recherche] [x] Patiente pendant le scan puis clique sur [Suppression] [x] Clique maintenant sur [Quitter] ( pas sur la croix rouge ) pour afficher le rapport. [x] Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\TCleaner.txt Note : Il se peut que le logiciel affiche la mention "Ne répond pas" car il consomme beaucoup de ressources. Il faut patienter quelques minutes. [x] Un tutoriel est disponible ici. -+-+-+-+-> Optimisation <-+-+-+-+- 1ère étape : Suppression des fichiers inutiles [o] Télécharge CCleaner [o] Installe le, puis lance le. [o] Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ". [o] Cliques sur l'onglet " Nettoyeur " puis cliques sur [Analyser] . A la fin de l'analyse, clique sur [Nettoyer]. [o] Rends toi à l'onglet " Registre " puis cliques sur [Chercher les erreurs]. Cliques ensuite sur [Corriger les erreurs séléctionnées. [o] Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression ) [o] Cliques ensuite sur [Corriger toutes les erreurs sélectionnées] puis sur [Fermer] [o] Tu peux renouveller ces opérations tous les jours. 2ème étape : Défragmentation [x] Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs. [o] Télécharge Defraggler. [o] Un tutoriel pour son utilisation est disponible ici. 3ème étape : Vérification des disques [x] Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ ) [x] Clique sur [Propriété] puis sur l'onglet [Outils] [x] Clique sur [Vérifier maintenant] puis coche les deux cases présentes. [x] Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage ) 4ème étape : Désactivation des programmes au démarrage [x] Clique sur [Démarrer] puis [Exécuter]. [x] Tape msconfig et valide par [ok]. [x] A l'onglet [Démarrage] , décoche tout les éléments sauf ceux se rapportant à ton antivirus / pare-feu. [x] Clique sur [Appliquer] puis [ok] et redémarre ton PC. -+-+-+-+-> Purger la restauration système <-+-+-+-+- [x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème. [x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant. [x] Tutoriels : - Windows XP - Windows Vista - Windows 7 -+-+-+-+-> Liens utiles <-+-+-+-+- - Les dangers du P2P - La sécurité de son PC, c'est quoi? - Sécuriser son ordinateur - Pourquoi maintenir son navigateur à jour? - Les toolbars c'est pas obligatoire

Celtray · Answer

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\CCM\Combofix.txt: trouvé !
C:\Documents and Settings\khal\Mes documents\ComboFix.exe: trouvé !
C:\Documents and Settings\khal\Recent\UsbFix.lnk: trouvé !
C:\downloads\Software\ComboFix.exe: trouvé !
C:\downloads\Software\UsbFix.exe: trouvé !
C:\downloads\Software\Rsit.exe: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Ad-Remover\Backup\Ad-R.exe: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\catchme.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !
C:\Program Files\ZHPDiag\Quarantine\UsbFix.DIR\UsbFix.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\khal\Mes documents\ComboFix.exe: supprimé !
C:\downloads\Software\ComboFix.exe: supprimé !
C:\Program Files\Ad-Remover\Backup\Ad-R.exe: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files\ZHPDiag\catchme.exe: supprimé !
C:\CCM\Combofix.txt: supprimé !
C:\Documents and Settings\khal\Recent\UsbFix.lnk: supprimé !
C:\downloads\Software\UsbFix.exe: supprimé !
C:\downloads\Software\Rsit.exe: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\Program Files\ZHPDiag\Quarantine\UsbFix.DIR\UsbFix.exe: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !
C:\Program Files\Ad-remover: supprimé !
C:\Program Files\ZHPDiag: ERREUR DE SUPPRESSION !!











Tiens... :o
ZHPDiag a fait une "ERREUR DE SUPPRESSION"... il aime bien buguer lui.

joc57 · Answer

bonjour tout le monde,
en introduisant ma clé usb dans l'ordi, celui-ci refuse de l'ouvrir en me disant que je dois formater le disque du lecteur avant de l'utiliser...

j'ai fait un scan avec mon antivirus qui m'a indiqué que userinit avait été trouvé comme suspect... j'ai fait un scan avec le logiciel dont vous parlez : ZHPdiag et voici le résultat :
 http://www.cjoint.com/c/EJEwAqoSS4C

quelqu'un peut-il me dire s'il s'agit bien de ce truc ?

autre chose : j'ai cliqué sur repair (j'ai lu après sur les forum qu'il ne fallait surtout pas faire ca.... mais apparement mon ordi n'a rien fait : "string value couldn't be fixed")

quelqu'un peut-il m'aider ?

Demande de lien : WinFileReplace de LoupBlanc

26 réponses

Discussions similaires

Newsletters