SOS! virus win32/katusha.a!

T'inquiète, là, plus rien de grave ;)

Tu peux ralentir un peu, à priori, MBAM ne trouvera pas grand chose d'important.

Bonne soirée, sois rassuré, ton PC est hors de dangé :D

Gabriel.

merci merci et encore merci! très bonne soirée à toi aussi!

:)) Toi aussi ;)

Gabriel.

hop! me revoilà! voici le résultat du scan:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8001

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

23.10.2011 18:02:52
mbam-log-2011-10-23 (18-02-52).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 315295
Temps écoulé: 1 heure(s), 14 minute(s), 13 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Backdoor.Agent) -> Value: Shell -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\alex p. keaton\AppData\Local\fbbe620d\X (Backdoor.0Access) -> Quarantined and deleted successfully.
c:\Users\alex p. keaton\AppData\Local\fbbe620d\U\80000000.@ (Spyware.Agent) -> Quarantined and deleted successfully.
c:\Users\alex p. keaton\AppData\Local\fbbe620d\U\800000cb.@ (Backdoor.0Access) -> Quarantined and deleted successfully.
c:\ZHP\quarantine\Spigot.DIR\wtxpcom\components\widgitoolbarff.dll.5 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\ZHP\quarantine\Spigot.DIR\wtxpcom\components\widgitoolbarff.dll.6 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

la bonne nouvelle, c'est que je viens de scanner mon ordi avec AVG, et j'ai encore un virus! le Generic4_c.BFAA...

Ok.

Tu peux me refaire un ZHPdiag ?

Merci,

Gabriel.

bonsoir!
voici le rapport ZHPDiag:

http://www.toofiles.com/fr/oip/documents/txt/2197_zhpdiag.html

Re,

On va désinstaller Spybot.

>Copie les lignes "helpers" (Avec Ctrl + C)

----------------------------------------------------------------------------------------
O43 - CFD: 22.10.2011 - 22:33:26 - [0] ----D- C:\Program Files\Common Files\Spigot => Infection PUP (PUP.Dealio)
C:\Program Files\Common Files\Spigot => Infection PUP (PUP.Dealio)
[MD5.CF706C4875D6CC846FD6C2E1C2CB9DC8] - (.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe [349472] [PID.]
O43 - CFD: 23.10.2011 - 19:27:38 - [9136] ----D- C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1 => Safer Networking Limited Spybot - S&D
O43 - CFD: 23.10.2011 - 18:49:18 - [54970594] ----D- C:\Program Files\Spybot - Search & Destroy => Spybot - Search & Destroy
C:\Users\Alex P. Keaton\AppData\Roaming\Mozilla\Firefox\Profiles\8hjekbkh.default\user.js (.not file.)
O4 - HKCU\..\Run: [SpybotSD TeaTimer] . (.Safer Networking Limited - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe => Safer Net Working®Spybot S&D
O4 - HKUS\S-1-5-21-2953826599-3487402421-794030295-1000\..\Run: [SpybotSD TeaTimer] . (.Safer Networking Limited - System settings protector.) -- C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe => Safer Net Working®Spybot S&D
O10 - Broken Internet access because of LSP provider (.not file.) -- mswsock.dll
----------------------------------------------------------------------------------------
>Ouvre ZHPfix, icone seringue (Vista et 7 : "Exécuter en tant qu'administrateur").
>Colle les lignes helpers : Pour ce, clique sur la balise document, à droite de l'appareil photo. Ou alors sur le H.
>Faire Ok.
>Clique sur "Tous".
>Clique sur "Nettoyer".
>Copie le rapport, et coller-le dans la prochaine réponse sur le forum.

P.S. Si le bureau disparaît, fais Ctrl + Alt + Suppr afin d'ouvrir le gestionnaire des tâches puis dans Applications, clic sur Nouvelle Tache puis tape explorer.exe. Le bureau devrait normalent réapparaître.


Si tu as des questions, n'hésite pas à me les poser !


@+

Gabriel.

ok, voici:

Rapport de ZHPFix 1.12.3365 par Nicolas Coolman, Update du 18/10/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-23.10.2011-23-11-14.txt
Run by Alex P. Keaton at 23.10.2011 23:11:14
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Software ==========
NOT FOUND Software Key: {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1

========== Minnesprocesser ==========
DELETED Memory Process: C:\Program Files\Bonjour\mDNSResponder.exe

========== Registervärden ==========
DELETED RunValue: SpybotSD TeaTimer
NOT FOUND RunValue: SpybotSD TeaTimer

========== Mappar ==========
DELETED Folder: C:\Program Files\Common Files\Spigot
DELETED Folder: C:\ProgramData\Spybot - Search & Destroy
DELETED Folder: C:\Program Files\Spybot - Search & Destroy

========== Filer ==========
NOT FOUND Folder/File: c:\program files\common files\spigot
DELETED File***: c:\program files\bonjour\mdnsresponder.exe
NOT FOUND Folder/File: c:\users\alex p. keaton\appdata\roaming\mozilla\firefox\profiles\8hjekbkh.default\user.js (.not file.)
NOT FOUND File: c:\program files\spybot - search & destroy\teatimer.exe


========== Zusammenfassend ==========
1 : Minnesprocesser
2 : Registervärden
3 : Mappar
4 : Filer
1 : Software


End of clean in 00mn 05s

========== Report File ==========
C:\ZHP\ZHPFix[R1].txt - 22.10.2011 21:34:32 [3748]
C:\ZHP\ZHPFix[R2].txt - 23.10.2011 23:11:14 [1413]

Ok.

Comment se comporte le PC ?

@+

Gabriel.

eh bien, tout à l'heure j'avais l'impression qu'internet était un peu plus lent que d'habitude, et je crois qu'une fausse page facebook est apparue comme option lorsque je commence à en taper les lettres dans mon browser. d'autres petites choses bizarres de temps en temps, rien de bien grave.

j'ai fait deux-trois scans avec avg, j'ai redémarré - le 2e virus que j'ai trouvé tout à l'heure a été éliminé par avg, semblerait-il - et j'ai l'impression que l'ordi marche déjà mieux, voire normalement.

salut gabriel,

est-ce que tu penses que le virus a été complètement supprimé du coup?

À priori c'est clean :)

On finalise :

Si nous avons utilisé Malwarebytes' Anti-Malware, tu peux le garder et passer un scan complet une fois par semaine en prenant soin de bien le mettre à jour avant de lancer le scan.
Autrement, installes-le, c'est un antimalware très efficace. Tu trouveras un tuto complet Ici

1- Nous allons mettre à jour ton pc.

Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles-ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant.

1ère étape : Java

▶ Télécharge >>>JavaRa<<< puis décompresse le sur ton bureau.
▶ Ouvre le dossier JavaRa puis exécute JavaRa.exe.
▶ Clique sur "Search For Updates".
▶ Sélectionne "Update Using jucheck.exe" puis clique sur "Search".
▶ Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation.
▶ Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions".
▶ Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur "Ok".
▶ Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message./list

/!\ Si la méthode "Update Using jucheck.exe" ne fonctionne pas, télécharge la dernière version de java à Cette adresse puis passe directement à la partie Remove Older Versions" /!\

2ème étape : Adobe Reader

▶ Si tu utilises adobe reader, il est important qu'il soit à jour.
▶ Si il n'est pas à jour, certains programmes malveillants peuvent exploiter différentes failles et infecter ton PC ( Voir ici )
▶ Pour vérifier qu'adobe reader est à jour, lance le puis clique sur Aide -> Rechercher les mises à jour.

3ème étape : Mise à jour des logiciels

▶ Il est également primordial de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker.
▶ Télécharge le Ici
▶ Un tutoriel pour son utilisation est disponible Ici.


2- Vacciner les supports amovibles

▶ Si nous n'avons pas utilisé USBfix lors de la procédure, tu peux vacciner tes supports amovibles pour éviter qu'ils ne s'infectent.
▶ Télécharge USBfix puis lance le. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7).
▶ Branche tout tes médias amovibles ( Clé USB, Disque dur externe, carte SD ) puis sélectionne l'option Vacciner.
▶ Appuie sur Ok au message de confirmation.
▶ Une fois la vaccination terminée, relance usbfix et choisis l'option Désinstaller.

Note : Si ton antivirus émet une alerte, désactive le momentanément ( il s'agit d'un faux positif )


3- DelFix

▶ Télécharge DelFix sur ton bureau.
▶ Lance le, clique sur Suppression
▶ Patiente pendant le scan jusqu'à l'ouverture du rapport.
▶ Copie/Colle le contenu du rapport dans ta prochaine réponse.

WOT :

Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT
Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT
Je te conseille d'installer cette extension pour Chrome pour securiser ton surf : WOT
Je te conseille d'installer cette extension pour Safari pour securiser ton surf : WOT


4- Optimisation

1ère étape : Suppression des fichiers inutiles

▶ Télécharge CCleaner.
▶ Installe le, puis lance le.
▶ Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ".
▶ Cliques sur l'onglet " Nettoyeur " puis cliques sur Analyser<gras>. A la fin de l'analyse, clique sur <gras>Nettoyer.
▶ Rends toi à l'onglet " Registre " puis cliques sur Chercher les erreurs. Cliques ensuite sur Corriger les erreurs sélectionnées.
▶ Accepte la sauvegarde puis enregistre la dans tes documents (tu pourras la supprimer si aucun problème n'apparaît après la suppression)2
▶ Cliques ensuite sur Corriger toutes les erreurs sélectionnées puis sur Fermer
▶ Tu peux renouveler ces opérations tous les jours./list
2ème étape : Défragmentation

Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs.

▶ Télécharge https://www.ccleaner.com/defraggler/download/standardDefraggler].
▶ Un tutoriel pour son utilisation est disponible Ici.

3ème étape : Vérification des disques

▶ Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ )
▶ Clique sur Propriété puis sur l'onglet Outils
▶ Clique sur Vérifier maintenant puis coche les deux cases présentes.
▶ Clique sur Démarrer (Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage).

4ème étape : Désactivation des programmes au démarrage

▶ Clique sur Démarrer puis Exécuter.
▶ Tape msconfig et valide par ok.
▶ A l'onglet Démarrage , décoche tout les éléments sauf ceux se rapportant à ton antivirus / pare-feu / Ordinateur (programmes acer...).
▶ Clique sur Appliquer puis ok et redémarre ton PC./list


4- Purge de la restauration système


La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.

▶ Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant.

▶ Tutoriels :

- Windows XP
- Windows Vista
- Windows 7


5- UAC ( Uniquement pour Vista/Seven )

Si tu as désactivé l'UAC, il est important de la réactiver.

-> Pourquoi garder l'UAC activée?


6- Security Check

Afin de vérifier si toutes les mise à jour ont bien été installées , nous allons utiliser un petit programme.

▶ Télécharge Security Check (de Screen317) sur ton bureau.
▶ Lance le, patiente pendant le scan puis poste le rapport qui s'ouvrira dans ta prochaine réponse.
▶ Une fois le rapport posté, tu peux supprimer Security Check./list

7- Liens utiles

Ces liens sont en rapport direct avec la sécurité de ton PC.
Prends le temps de les lire pour comprendre pourquoi tu as été infecté.

- Les dangers du P2P
- La sécurité de son PC, c'est quoi ?
- Sécuriser son ordinateur
- Pourquoi maintenir son navigateur à jour?
- Les toolbars c'est pas obligatoire

8-Glary Utilities

Passe Glary Utilities en le téléchargeant ici.

Attention, lors de l'installation, il est demandé d'installer la Toolbar ASK, refuse, cette dernière est infectieuse.

Voilà.
► Donc pour les conseils en général :

1-Utilise toujours une session utilisateur et non administrateur.

2-Tiens tout tes logiciels à jour.

3-Ne crack pas (Emule, BiTorrent, etc...)

4-Surveille les sites où tu vas avec WoT.

5-Ne clique pas n'importe où.

@+

Gabriel.

salut gabriel,

ce fut long, mais j'ai fait l'ensemble du programme que tu m'as conseillé. voici les divers rapports:

# DelFix v8.6 - Rapport créé le 25/10/2011 à 13:58:17
# Mis à jour le 13/10/11 à 18h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Alex P. Keaton - ALEXPKEATON-PC (Administrateur)
# Exécuté depuis : C:\Users\Alex P. Keaton\Downloads\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\TDSSKiller.2.6.12.0_21.10.2011_22.44.24_log.txt
Supprimé : C:\TDSSKiller.2.6.12.0_22.10.2011_16.09.01_log.txt
Supprimé : C:\TDSSKiller.2.6.12.0_22.10.2011_16.09.35_log.txt
Supprimé : C:\Users\Alex P. Keaton\Desktop\JavaRa.exe
Supprimé : C:\Users\Alex P. Keaton\Desktop\TDSSKiller.exe
Supprimé : C:\Users\Alex P. Keaton\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Alex P. Keaton\Desktop\zhpfix.txt
Supprimé : C:\Users\Alex P. Keaton\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Alex P. Keaton\Downloads\antizeroaccess.exe
Supprimé : C:\Users\Alex P. Keaton\Downloads\AntiZeroAccess_Log.txt
Supprimé : C:\Users\Alex P. Keaton\Downloads\spybotsd162.exe
Supprimé : C:\Users\Alex P. Keaton\Downloads\ZHPDiag2(1).exe
Supprimé : C:\Users\Alex P. Keaton\Downloads\ZHPDiag2(2).exe
Supprimé : C:\Users\Alex P. Keaton\Downloads\ZHPDiag2.exe
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1756 octets] - [25/10/2011 13:58:17]

########## EOF - C:\DelFix[S1].txt - [1880 octets] ##########

Results of screen317's Security Check version 0.99.24
Windows Vista Service Pack 2 x86 (UAC is enabled)
Internet Explorer 9
[b]''''''''''''''''''''''''''''''
[u]Antivirus/Firewall Check:[/u][/b]
AVG 2012
AVG PC Tuneup 2011
AVG 2012
[size=1]WMI entry may not exist for antivirus; attempting automatic update.[/size]
[b]'''''''''''''''''''''''''''''''
[u]Anti-malware/Other Utilities Check:[/u][/b]
Malwarebytes' Anti-Malware
AVG PC Tuneup 2011
CCleaner
Java(TM) 6 Update 29
Java(TM) 7 Update 1
[color=red][b]Out of date Java installed![/b][/color]
Adobe Flash Player 11.0.1.152
Adobe Reader X (10.1.1)
Mozilla Firefox (x86 de..)
[b]''''''''''''''''''''''''''''''''
Process Check:
[u]objlist.exe by Laurent[/u][/b]
AVG avgwdsvc.exe
AVG avgtray.exe
AVG avgrsx.exe
AVG avgnsx.exe
AVG avgemc.exe
[b]''''''''''End of Log''''''''''''[/b]

celui-ci est en screen shot car je ne pouvais pas copier-coller le rapport:

http://www.toofiles.com/fr/oip/documents/jpg/rapportjava.html

Re,

Parfais :)

Passe en résolu si tu n'as plus de soucis ;)

Bonne journée,

Gabriel.

aléluia!!! là, je défragmente puis ce sera bon, on dirait.
merci encore énormément. heureusement qu'il y a des personnes comme toi prêts à aider des gens comme moi qui n'y connaissent rien!
très très bonne fin de journée à toi!
caroline

Je t'en prie ;)

Merci pour les remerciements ;)

À très vite.

Gabriel.

oh, euh, dernière chose: comment je marque la discussion en "résolue"?