Publicités intempestives (2ème PC)Résolu/Fermé

Question

Bonjour, 

Même problème que mon précédent topic, publicités adserve intempestives.

Je suis normalement pris en charge par Fish66 , merci d'avance.

Configuration: Windows XP / Internet Explorer 7.0

Nehemah · Answer

1er rapport :

# AdwCleaner v1.703 - Rapport créé le 27/07/2012 à 18:50:01
# Mis à jour le 20/07/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Propriétaire 
# Exécuté depuis : C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\F9XW0IVP\adwcleaner[1].exe
# Option [Suppression]


***** [Services] *****

Arrêté & Supprimé : AskService
Arrêté & Supprimé : AskUpgrade

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\Propriétaire\AppData\LocalLow\bbrs_002.tb
Dossier Supprimé : C:\Documents and Settings\Propriétaire\Application Data\vShare
Dossier Supprimé : C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\fp7gltjv.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
Dossier Supprimé : C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\fp7gltjv.default\extensions\bbrs_002@blabbers.com
Dossier Supprimé : C:\Program Files\AskBarDis
Dossier Supprimé : C:\Program Files\BrowserCompanion
Dossier Supprimé : C:\Program Files\vShare
Dossier Supprimé : C:\Program Files\Fichiers communs\Software Update Utility
Fichier Supprimé : C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\fp7gltjv.default\searchplugins\Ask.xml
Fichier Supprimé : C:\Program Files\Mozilla FireFox\Components\AskSearch.js
Fichier Supprimé : C:\Program Files\Mozilla Firefox\plugins
pdnu.dll
Fichier Supprimé : C:\Program Files\Mozilla Firefox\plugins
pdnu.xpt
Fichier Supprimé : C:\Program Files\Mozilla Firefox\plugins
pdnupdater2.dll
Fichier Supprimé : C:\Program Files\Mozilla Firefox\plugins
pdnupdater2.xpt

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\AskBarDis
Clé Supprimée : HKCU\Software\BrowserCompanion
Clé Supprimée : HKCU\Software\vShare
Clé Supprimée : HKLM\SOFTWARE\AskBarDis
Clé Supprimée : HKLM\SOFTWARE\BrowserCompanion
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\dnu.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID	dataprotocol.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\updatebho.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\wit4ie.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\dnUpdate
Clé Supprimée : HKLM\SOFTWARE\Classes\dnUpdater.DownloadUIBrowser
Clé Supprimée : HKLM\SOFTWARE\Classes\dnUpdater.DownloadUIBrowser.1
Clé Supprimée : HKLM\SOFTWARE\Classes\dnUpdater.DownloadUpdController
Clé Supprimée : HKLM\SOFTWARE\Classes\dnUpdater.DownloadUpdController.1
Clé Supprimée : HKLM\SOFTWARE\Classes\IMsiDe1egate.Application.1
Clé Supprimée : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\base64
Clé Supprimée : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\chrome
Clé Supprimée : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\prox
Clé Supprimée : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\vsharechrome
Clé Supprimée : HKLM\SOFTWARE\Classes	dataprotocol.CTData
Clé Supprimée : HKLM\SOFTWARE\Classes	dataprotocol.CTData.1
Clé Supprimée : HKLM\SOFTWARE\Classes\updatebho.TimerBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\updatebho.TimerBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\vShare.IMedixProtocol
Clé Supprimée : HKLM\SOFTWARE\Classes\vShare.IMedixProtocol.1
Clé Supprimée : HKLM\SOFTWARE\Classes\vShare.PugiObj
Clé Supprimée : HKLM\SOFTWARE\Classes\vShare.PugiObj.1
Clé Supprimée : HKLM\SOFTWARE\Classes\vShare.ScriptHelpers
Clé Supprimée : HKLM\SOFTWARE\Classes\vShare.ScriptHelpers.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wit4ie.WitBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\wit4ie.WitBHO.2
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BrowserCompanion
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdUtility
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\vShare
Clé Supprimée : HKLM\SOFTWARE\Wise Solutions
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Browser companion helper]

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{20EDC024-43C5-423E-B7F5-FD93523E0D9F}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{373ED12D-B306-43AC-9485-A7C5133DC34C}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{6C259840-5BA8-46E6-8ED1-EF3BA47D8BA1}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{ED6535E7-F778-48A5-A060-549D30024511}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{00CBB66B-1D3B-46D3-9577-323A336ACB50}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{043C5167-00BB-4324-AF7E-62013FAEDACF}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{0702A2B6-13AA-4090-9E01-BCDC85DD933F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{5ACE96C0-C70A-4A4D-AF14-2E7B869345E1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{622FD888-4E91-4D68-84D4-7262FD0811BF}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{7B089B94-D1DC-4C6B-87E1-8156E22C1D96}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{963B125B-8B21-49A2-A3A8-E37092276531}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A3F2A195-0D11-463b-96BB-D2FF1B7490A1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B0DE3308-5D5A-470D-81B9-634FC078393B}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E15A9BFD-D16D-496D-8222-44CADF316E70}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{ECD0ECC6-DCA4-4013-A915-12355AB70999}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{20ED5AF7-D9C4-409E-9EB3-D2A44A77FB6D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{660E6F4F-840D-436D-B668-433D9591BAC5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{817923CB-4744-4216-B250-CF7EDA8F1767}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E7435878-65B9-44D1-A443-81754E5DFC90}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{3E315C81-442B-431C-AEC8-ED189699EC24}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{830B56CB-FD22-44AA-9887-7898F4F4158D}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{8830DDF0-3042-404D-A62C-384A85E34833}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{92380354-381A-471F-BE2E-DD9ACD9777EA}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{955B782E-CDC8-4CEE-B6F6-AD7D541A8D8A}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00CBB66B-1D3B-46D3-9577-323A336ACB50}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{043C5167-00BB-4324-AF7E-62013FAEDACF}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{963B125B-8B21-49A2-A3A8-E37092276531}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7B089B94-D1DC-4C6B-87E1-8156E22C1D96}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{00CBB66B-1D3B-46D3-9577-323A336ACB50}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{043C5167-00BB-4324-AF7E-62013FAEDACF}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{963B125B-8B21-49A2-A3A8-E37092276531}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00CBB66B-1D3B-46D3-9577-323A336ACB50}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{043C5167-00BB-4324-AF7E-62013FAEDACF}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{963B125B-8B21-49A2-A3A8-E37092276531}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{043C5167-00BB-4324-AF7E-62013FAEDACF}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{3041D03E-FD4B-44E0-B742-2D9B88305F98}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{043C5167-00BB-4324-AF7E-62013FAEDACF}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{3041D03E-FD4B-44E0-B742-2D9B88305F98}]

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v12.0 (fr)

Nom du profil : default 
Fichier : C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\fp7gltjv.default\prefs.js

C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\fp7gltjv.default\user.js ... Supprimé !

Supprimée : user_pref("extensions.snipit.askTbInstalled", true);
Supprimée : user_pref("extensions.snipit.chromeURL", "hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&g[...]
Supprimée : user_pref("keyword.URL", "hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q=");

-\ Google Chrome v20.0.1132.57

Fichier : C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [11535 octets] - [27/07/2012 18:50:01]

########## EOF - C:\AdwCleaner[S1].txt - [11664 octets] ##########

Fish66 · Answer

Salut, * Télécharge puis enregistre sur le bureau de ton PC ZHPDiag (de Nicolas Coolman) à partir : ce lien * Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7) * Clique sur l'icône en forme de loupe pour lancer le diagnostique * Héberge le rapport ZHPDiag.txt de ton bureau sur : malekal.com ou cjoint.com * Fais copier/coller le lien fourni dans ta prochaine réponse * Aide ZHPDiag : <<< ICI >>>

Nehemah · Answer

Hello,

Voici le lien :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120727_l5h8d12i14g12

Fish66 · Answer

Re, Un Rootkit! ===================== 1/ Télécharge TDSSKiller sur ton Bureau. # Décompresse le (clic droit sur le fichier et extraire) sur le bureau. # dans le dossier crée, déplacer le fichier TDSSKiller.exe pour le mettre sur le Bureau # Faire un double clic sur TDSSKiller.exe pour le lancer. # Cliquer sur Start scan pour lancer l'analyse, # Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option Cure est sélectionnée, # Si des objects suspects "Suspicious objects" ont été détectés, sur l'écran de demande de confirmation, laisser l'option sur Skip. # Puis cliquer sur le bouton Continue. # Attendre l'affichage du fichier rapport. # Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage, cliquer sur le bouton Reboot computer. <<<<<< AIDE : ICI >>>>>> Envoyer en réponse le rapport de TDSSKiller Note : Il se trouve aussi en C:\TDSSKiller.Version_Date_Heure_log.txt 2/ Lance Malwarebytes, fais la mise à jour, choisis une analyse complète, supprime tout ce qu'il trouve puis poste le rapport stp ==================== Désolé je dois partir, à demain Bonne soirée! :-)

Nehemah · Answer

TDSSKILLER n'a rien trouvé, par contre j'arrive pas à copier le rapport, le clic droit sur le texte ne fonctionne pas.

Et voici le rapport de MBAM :



Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.07.27.09

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Propriétaire :: PROPRI-XXXXX [administrateur]

27.07.2012 21:57:16
mbam-log-2012-07-27 (21-57-16).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 374902
Temps écoulé: 1 heure(s), 39 minute(s), 30 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\System Volume Information\_restore{9572D0A2-FEBB-4C50-9240-B94A9B7BD6C7}\RP1001\A0187143.exe (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{9572D0A2-FEBB-4C50-9240-B94A9B7BD6C7}\RP1001\A0187157.exe (PUP.Blabbers) -> Mis en quarantaine et supprimé avec succès.

(fin)

Fish66 · Answer

Bonjour,
1/
Tu peux héberger le rapport TDSSKiller

2/
Avant d'utiliser ComboFix :  
	
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :  

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix  

* Télécharge Defogger (de jpshortstuff) sur  ton Bureau  
* Lance le  

* Une fenêtre apparait : clique sur "Disable"  

* Fais redémarrer l'ordinateur si l'outil te le demande  

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"  

===================================================  

Attention, avant de commencer, lis attentivement la procédure  

******************************************************** 

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\  

* Fais un clic droit sur ce lien, enregistre le dans ton bureau sous un autre nom exemple « ton pseudo.exe »  
Voici Aide combofix 

* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  
 

*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)  

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets internet)  

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

*Note : Le rapport se trouve également là : C:\ComboFix.txt

Nehemah · Answer

Salut,

Merci pour ta réponse. Là je t'avoue que je me sens pas apte et qualifié pour poursuivre. J'ai lu un peu les procédures pour Combofix et toutes ces manips ainsi que les risques qui y sont liés et je préfère ne pas m'y aventurer.

Aurais-tu quelque chose de plus basique éventuellement ?

Fish66 · Answer

Re,
1/
Concernant combofix, n'ai pas peur, il faut juste suivre les instructions!

2/
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


[HKCU\Software\AskBarDis]  
O43 - CFD: 29.09.2010 - 11:17:04 - [0.422] ----D C:\Program Files\Everest Poker    => Infection BT (PUP.Casino)
O47 - AAKE:Key Export SP - "C:\WINDOWS\system32\drivers\svchost.exe" [Disabled] .(...) -- C:\WINDOWS\system32\drivers\svchost.exe (.not file.)    => Infection FakeAlert (Trojan.Agent)
O47 - AAKE:Key Export SP - "C:\Documents and Settings\Propriétaire\Local Settings\Temp\CRY88F8.tmp\install.exe" [Enabled] .(...) -- C:\Documents and Settings\Propriétaire\Local Settings\Temp\CRY88F8.tmp\install.exe (.not file.)    => Infection FakeAlert
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\TDSSserv.sys . (...) -- C:\WINDOWS\system32\Drivers\TDSSserv.sys (.not file.)    => Infection Rootkit (tdssserv.Root)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\TDSSserv.sys . (...) -- C:\WINDOWS\system32\Drivers\TDSSserv.sys (.not file.)    => Infection Rootkit (tdssserv.Root)
[HKLM\Software\AppDataLow\AskBarDis]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ask Toolbar_is1] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\vShare] 
[HKLM\Software\Classes\askibar.popswatterbarbutton] 
[HKLM\Software\Classes\askibar.popswatterbarbutton.1] 
[HKLM\Software\Classes\askibar.popswattersettingscontrol] 
[HKLM\Software\Classes\askibar.popswattersettingscontrol.1] 
[HKLM\Software\Classes\asktoolbar.settingsplugin] 
[HKLM\Software\Classes\asktoolbar.settingsplugin.1] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{49783ED4-258D-4f9f-BE11-137C18D3E543}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{b7fe5d70-9aa2-40f1-9c6b-12a255f085e1}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{b7fe5d70-9aa2-40f1-9c6b-12a255f085e1}]     
[HKLM\Software\Microsoft\Internet Explorer\extensions\{b7fe5d70-9aa2-40f1-9c6b-12a255f085e1}]     
[HKCU\Software\Grand Virtual]     
[HKCU\Software\PartyGaming]     
[HKCU\Software\poker 770]     
[HKCU\Software	itan poker]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs	itan poker] 
[HKLM\Software	itan poker]     
C:\Program Files\Everest Poker     
C:\Program Files\PartyGaming     

FirewallRAZ
EmptyTemp
EmptyFlash



Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.

3/
Désinstalle ces logiciels stp :
- Spybot - Search & Destroy 
- Adobe Reader 7.0.7 
- Logiciel: Java 6 Update 2 
- Logiciel: Java 6 Update 3 
- Logiciel: Java 6 Update 5 
- Logiciel: Java 6 Update 7

Nehemah · Answer

Merci

Je vais devoir partir, je reprends la procédure ce soir ou demain matin.

Bonne journée à toi

Fish66 · Answer

D'accord, merci et bonne journée à toi aussi  :-)

Nehemah · Answer

Salut,

Petite question :

Est-ce que je peux faire un combofix sur le 1er pc que tu m'as dépanné ? C'est juste pour voir comment ça se passe (c'est un petit portable sans dommage) Et si ça se passe bien, je ferai la manip sur l'autre. J'attend ta confirmation.

Nehemah · Answer

et le rapport :

Rapport de ZHPFix 1.2.07 par Nicolas Coolman, Update du 20/07/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-28.07.2012-18-55-40.txt
Run by Propriétaire at 28.07.2012 18:55:40
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
SUPPRIME Key*: HKCU\Software\AskBarDis
SUPPRIME O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\TDSSserv.sys . (...) -- C:\WINDOWS\system32\Drivers\TDSSserv.sys (.not file.)
SUPPRIME O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\TDSSserv.sys . (...) -- C:\WINDOWS\system32\Drivers\TDSSserv.sys (.not file.)
SUPPRIME Key*: HKLM\Software\AppDataLow\AskBarDis
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ask Toolbar_is1
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\vShare
SUPPRIME Key*: HKLM\Software\Classes\askibar.popswatterbarbutton
SUPPRIME Key*: HKLM\Software\Classes\askibar.popswatterbarbutton.1
SUPPRIME Key*: HKLM\Software\Classes\askibar.popswattersettingscontrol
SUPPRIME Key*: HKLM\Software\Classes\askibar.popswattersettingscontrol.1
SUPPRIME Key*: HKLM\Software\Classes\asktoolbar.settingsplugin
SUPPRIME Key*: HKLM\Software\Classes\asktoolbar.settingsplugin.1
SUPPRIME Key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{49783ED4-258D-4f9f-BE11-137C18D3E543}
SUPPRIME Key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{b7fe5d70-9aa2-40f1-9c6b-12a255f085e1}
SUPPRIME Key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{b7fe5d70-9aa2-40f1-9c6b-12a255f085e1}
SUPPRIME Key*: HKLM\Software\Microsoft\Internet Explorer\extensions\{b7fe5d70-9aa2-40f1-9c6b-12a255f085e1}
SUPPRIME Key*: HKCU\Software\Grand Virtual
SUPPRIME Key*: HKCU\Software\PartyGaming
SUPPRIME Key*: HKCU\Software\poker 770
SUPPRIME Key*: HKCU\Software	itan poker
SUPPRIME Key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs	itan poker
SUPPRIME Key*: HKLM\Software	itan poker

========== Valeur(s) du Registre ==========
SUPPRIME AAKE KeyValue: C:\WINDOWS\system32\drivers\svchost.exe
SUPPRIME AAKE KeyValue: C:\Documents and Settings\Propriétaire\Local Settings\Temp\CRY88F8.tmp\install.exe
SUPPRIME FirewallRaz (SP) : %windir%\system32\sessmgr.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\Yahoo!\Messenger\YServer.exe
SUPPRIME FirewallRaz (SP) : %windir%\Network Diagnostic\xpnetdiag.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\FlashGet\flashget.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\Namo\WebEditor 5 Trial\bin\WebEditor.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\MSN Messenger\livecall.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\AIM\aim.exe
SUPPRIME FirewallRaz (DP) : %windir%\system32\sessmgr.exe
SUPPRIME FirewallRaz (DP) : %windir%\Network Diagnostic\xpnetdiag.exe
SUPPRIME FirewallRaz (DP) : C:\Program Files\MSN Messenger\livecall.exe
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Dossier(s) ==========
SUPPRIME Folder: C:\Program Files\Everest Poker
SUPPRIME Folder: c:\program files\partygaming
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
ABSENT File: c:\windows\system32\drivers\svchost.exe
ABSENT File: c:\documents and settings\propriétaire\local settings	emp\cry88f8.tmp\install.exe
ABSENT File: c:\windows\system32\drivers	dssserv.sys
ABSENT Folder/File: c:\program files\everest poker
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:


========== Récapitulatif ==========
22 : Clé(s) du Registre
14 : Valeur(s) du Registre
4 : Dossier(s)
6 : Fichier(s)


End of clean in 01mn 25s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 28.07.2012 18:55:40 [3914]

Fish66 · Answer

Re,
Est-ce que je peux faire un combofix sur le 1er pc que tu m'as dépanné ? 
La réponse est non, puisque ton PC n'est pas infecté même les infections trouvées ne nécessitent pas Combofix!
===================
Tu trouves ici : comment utiliser combofix

Nehemah · Answer

Je suis allé lire mais je ne me sens pas d'effectuer toutes ces opérations. Je pense que c'est plutôt le ressort d'un spécialiste comme toi mais certainement pas moi. Chacun son job ;-)

Fish66 · Answer

Re,
Laisse combofix pour le moment!
================
Lance ZHPDiag depuis le bureau et prépare stp un nouveau rapport ZHPDiag (à héberger)

Nehemah · Answer

Salut à toi,

Voici le lien :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120729_j6r5o13e8f15

Fish66 · Answer

Bonjour, 
1/ 
Démarre en mode sans échec avec prise en charge du réseau : 
Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter  
Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer en Mode sans échec avec prise en charge réseau  
puis tape entrée.  
Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal !  
(Si F8 ne marche pas utilise la touche F5) 
===================== 
Dans ce mode fais ceci stp : 
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )  


[HKLM\Software\Poker 770] 
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [feature_enable_ie_compression] -- svchost.exe    => Infection Rootkit (Rootkit.TDSS) 
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [feature_enable_ie_compression] -- svchost.exe    => Infection Rootkit (Rootkit.TDSS) 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{49783ED4-258D-4f9f-BE11-137C18D3E543}]     
 



Puis Lance ZHPFix depuis le raccourci du bureau .  

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

Clique sur le bouton  GO 

Copie/Colle le rapport à l'écran dans ton prochain message. 

2/ 
Dans ce mode aussi, relance TDSSKiller comme expliqué : ici en 1/puis héberge le rapport et donne moi l'adresse du lien

3/ 
Redémarre ton PC en mode normal, comment se comporte t-il ? 



_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Nehemah · Answer

2 questions : une fois dans le mode sans échec, je le tape où le texte en question ?

Comment héberger le rapport de TDSSKILLER puisque je ne parviens pas le copier coller ?

Merci (et pardonne mon ignorance)

Fish66 · Answer

2 questions : une fois dans le mode sans échec, je le tape où le texte en question ?  ---> ZHPFix
Relis stp la procédure expliqué ci-dessus en 1/, tu l'as déjà fait en mode normal

==================
Comment héberger le rapport de TDSSKILLER puisque je ne parviens pas le copier coller ? 
Tu vas héberger ce fichier : C:\TDSSKiller.Version_Date_Heure_log.txt  comme suit :

* Rends toi sur pjjoint.malekal.com  
* Clique sur le bouton Parcourir  
* Sélectionne le fichier que tu veux héberger et clique sur Ouvrir  
* Clique sur le bouton Envoyer  
* Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015  

* Copie le lien dans ta prochaine réponse.

Nehemah · Answer

Donc déjà le 1er rapport (le reste suit)

Rapport de ZHPFix 1.2.07 par Nicolas Coolman, Update du 20/07/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-29.07.2012-13-27-52.txt
Run by Propriétaire at 29.07.2012 13:27:52
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
SUPPRIME Key*: HKLM\Software\Poker 770
SUPPRIME Key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{49783ED4-258D-4f9f-BE11-137C18D3E543}

========== Valeur(s) du Registre ==========
ABSENT IFC: [feature_enable_ie_compression] svchost.exe


========== Récapitulatif ==========
2 : Clé(s) du Registre
1 : Valeur(s) du Registre


End of clean in 00mn 00s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 28.07.2012 17:55:40 [3966]
C:\ZHP\ZHPFix[R2].txt - 29.07.2012 13:27:52 [840]

Nehemah · Answer

2) le lien :

 https://pjjoint.malekal.com/files.php?id=20120729_t13b12p6g15c8


3) Le PC se comporte normalement

Fish66 · Answer

Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour   
Tu peux l'utiliser une fois par semaine           
===================
Fais la mise à jour de Firefox et Java SE Runtime Environment 

=====================
Si tu n'as plus de soucis, on peut finaliser dans la prochaine étape

Nehemah · Answer

Salut,

J'ignore comment faire la mise à jour de Firefox et Java....

Sinon, plus aucun problème a priori.

Fish66 · Answer

Re,
1/
Mise à jour firefox
Démarre Firefox, sur le menu tu cliques sur : ? (à droite de "outils"), ensuite choisis "A propos firefox" et enfin "Appliquer la mise à jour"

2/
Lance update checker pour effectuer les autres mises à jour :
 Updatechecker :
Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour   
Tu peux l'utiliser une fois par semaine           
=========================================== 
**Nettoyage 

Suppression des outils de désinfections:
* Télécharge  Delfix   sur ton bureau.          
* Lance le, tape suppression puis valide          
* Patiente pendant le scan jusqu'à l'ouverture du rapport.          
* Copie/Colle le contenu du rapport dans ta prochaine réponse.          
Note : Le rapport se trouve également sous C:\DelFix.txt          
* Tu peux le desinstaller          

===========================================         
<code>Défragmentation : :
Défragmente tes disques dur par defraggler  
Tu peux lutiliser une fois par trimestre    
===========================================    

Nettoyage des fichiers et des clés de registre :
* Télécharge et installe CCleaner version Slim               
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis         
* Avancé et décoche la case Effacer uniquement les fichiers etc....         
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.         
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse .         
** Aide ici : https://www.malekal.com/tutoriel-ccleaner/         
Tu peux utiliser Ccleaner une fois par semaine        

===========================================    
Purger les points de restauration système:   

* Désactive et réactive la restauration de système en suivant les procédures indiquées dans ces liens :   

Windows XP    

Windows Vista    

Windows 7    

* Après avoir vidé la restauration du système, il est nécessaire de créer un nouveau point de restauration ...   

===========================================    
Conseils :       
1/ Je te conseille d'utiliser le navigateur Firefox et d'installer les modules          
complémentaires WOT pour t'indiquer les fichiers douteux et Adblock plus pour bloquer les publicités...         

2/ Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.          

3/ Un peu de lecture :        
* Les dangers du Peer-To-Peer, Emule etc..         
* Comment Sécuriser son ordinateur...        
*Pourquoi et comment je me fais infecter   
 *pourquoi maintenir son navigateur à jour

Nehemah · Answer

Re,

# DelFix v8.9 - Rapport créé le 29/07/2012 à 19:08:34
# Mis à jour le 27/07/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Propriétaire - (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\435K2EJY\delfix[1].exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\SDFix
Supprimé : C:\ZHP
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\TDSSKiller.2.7.48.0_27.07.2012_21.51.16_log.txt
Supprimé : C:\TDSSKiller.2.7.48.0_29.07.2012_13.29.43_log.txt
Supprimé : C:\Documents and Settings\Propriétaire\Bureau\TDSSKiller.exe
Supprimé : C:\Documents and Settings\Propriétaire\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Propriétaire\Bureau\ZHPDiag3.Txt
Supprimé : C:\Documents and Settings\Propriétaire\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1493 octets] - [29/07/2012 19:08:34]

########## EOF - C:\DelFix[S1].txt - [1617 octets] ##########

Fish66 · Answer

Re,
Sois prudent et bon surf..

Nehemah · Answer

Merci pour la qualité de ton intervention !

Publicités intempestives (2ème PC)

27 réponses

Newsletters