Disk antivirus professional [Fermé]

Sarah+ 5 Messages postés lundi 11 février 2013Date d'inscription 15 février 2013 Dernière intervention - 11 févr. 2013 à 11:39 - Dernière réponse : Smart91 29175 Messages postés dimanche 15 juillet 2007Date d'inscriptionContributeur sécuritéStatut 5 avril 2014 Dernière intervention
- 27 mars 2013 à 00:07
Bonjour à tous,

Je viens chercher de l'aide car mon pc (os: windows 7) a été infecté par cette saleté de disk antivirus professional et je n'arrive pas à m'en débarrasser. Un ami me l'avait désinstallé une première fois en utilisant Malwarebytes' anti-malware et rkill mais je viens de me rendre compte qu'il s'était réinstallé.

Bref, j'ai lancé un scan complet de mon système avec Malwarebytes' anti-malware mais il ne détecte rien. Rien non plus d'après rkill.

Des idées, quelqu'un? :/

Merci d'avance.

Sarah
Afficher la suite 
5Messages postés lundi 11 février 2013Date d'inscription 15 février 2013 Dernière intervention

11 réponses

Smart91 29175 Messages postés dimanche 15 juillet 2007Date d'inscriptionContributeur sécuritéStatut 5 avril 2014 Dernière intervention - 11 févr. 2013 à 13:28
0
Utile
Bonjour,

* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous les programmes en cours
* Lance RogueKiller.exe.
* Attendre la fin du Prescan ...
* Clique sur Scan.
* A la fin du scan Clique sur Rapport. Copie et colle le rapport dans ta réponse

Smart
Sarah+ 5 Messages postés lundi 11 février 2013Date d'inscription 15 février 2013 Dernière intervention - 12 févr. 2013 à 00:02
0
Utile
Bonjour,

Merci d'intervenir, c'est vraiment sympa!

Voici le rapport (j'ai coupé ma connexion internet sur mon ordinateur infecté, je ne sais pas si cela a une incidence quelconque):

RogueKiller V8.5.0 _x64_ [Feb 9 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Sarah [Droits d'admin]
Mode : Recherche -- Date : 11/02/2013 23:56:13
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 6 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Sarah\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1331252914-2769223749-3517249949-1000[...]\Run : cacaoweb ("C:\Users\Sarah\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> TROUVÉ
[SHELL][SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\Sarah\Local Settings\Temp\mstoafaey.exe) -> TROUVÉ
[SHELL][SUSP PATH] HKUS\S-1-5-21-1331252914-2769223749-3517249949-1000[...]\Windows : Load (C:\Users\Sarah\Local Settings\Temp\mstoafaey.exe) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD5000BEVT-80A0RT0 +++++
--- User ---
[MBR] 697fe5d5f8f6c594432ea117b4bfe546
[BSP] b8e681ec20f3f51e484d81d4ade624cc : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 22003 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 45062325 | Size: 119231 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 289249280 | Size: 335704 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: USB Flash Disk USB Device +++++
--- User ---
[MBR] 6d10b72b00ecc717967205417f1a4f41
[BSP] b028383bc1f52a56a2d24f54b5fb8e7e : Windows XP MBR Code
Partition table:
0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 64 | Size: 1911 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1]_S_11022013_235613.txt >>
RKreport[1]_S_11022013_235613.txt
Smart91 29175 Messages postés dimanche 15 juillet 2007Date d'inscriptionContributeur sécuritéStatut 5 avril 2014 Dernière intervention - 12 févr. 2013 à 00:41
0
Utile
* Quitte tous les programmes en cours
* Relance RogueKiller.exe.
* Attendre la fin du Prescan ...
* Clique sur Scan.
* A la fin du scan clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse

Smart
Sarah+ 5 Messages postés lundi 11 février 2013Date d'inscription 15 février 2013 Dernière intervention - 12 févr. 2013 à 11:18
0
Utile
Bonjour,

Voici le rapport après suppression:

RogueKiller V8.5.0 _x64_ [Feb 9 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Sarah [Droits d'admin]
Mode : Suppression -- Date : 12/02/2013 09:25:16
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 4 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Sarah\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> SUPPRIMÉ
[SHELL][SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\Sarah\Local Settings\Temp\mstoafaey.exe) -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD5000BEVT-80A0RT0 +++++
--- User ---
[MBR] 697fe5d5f8f6c594432ea117b4bfe546
[BSP] b8e681ec20f3f51e484d81d4ade624cc : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 22003 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 45062325 | Size: 119231 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 289249280 | Size: 335704 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3]_D_12022013_092516.txt >>
RKreport[1]_S_11022013_235613.txt ; RKreport[2]_S_12022013_092410.txt ; RKreport[3]_D_12022013_092516.txt
Smart91 29175 Messages postés dimanche 15 juillet 2007Date d'inscriptionContributeur sécuritéStatut 5 avril 2014 Dernière intervention - 12 févr. 2013 à 12:34
0
Utile
Maintenant tu vas faire ceci:

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Smart
Sarah+ 5 Messages postés lundi 11 février 2013Date d'inscription 15 février 2013 Dernière intervention - 12 févr. 2013 à 14:39
0
Utile
Bonjour,

J'ai bien installé MBAM et ses mises à jour mais il n'a rien détecté lors de l'examen complet. (Pourtant Disk antivirus professional apparait toujours dans démarrer> tous les programmes).

Voici le rapport de l'examen complet:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.02.12.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Sarah :: SARAH-PC [administrateur]

12/02/2013 13:13:03
mbam-log-2013-02-12 (13-13-03).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 432443
Temps écoulé: 1 heure(s), 20 minute(s), 25 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
Smart91 29175 Messages postés dimanche 15 juillet 2007Date d'inscriptionContributeur sécuritéStatut 5 avril 2014 Dernière intervention - 12 févr. 2013 à 19:42
0
Utile
(Pourtant Disk antivirus professional apparait toujours dans démarrer> tous les programmes).
Ce ne sont que des raccourcis.

On va faire un diagnostic de ton PC:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
http://telechargement.zebulon.fr/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement"
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur le tournevis en haut à droite de la fenêtre et "coche toutes les cases
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
- Clique sur Parcourir et cherche le répertoire C:\ZHP
- Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
- Ensuite Clique sur "Envoyer le fichier".
- Copie le lien obtenu dans ta réponse.

Smart
Sarah+ 5 Messages postés lundi 11 février 2013Date d'inscription 15 février 2013 Dernière intervention - 15 févr. 2013 à 10:40
0
Utile
Bonjour,

Voici le lien obtenu:

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130215_g14u15k6n14k10


Merci encore de ton aide :)

Sarah
Smart91 29175 Messages postés dimanche 15 juillet 2007Date d'inscriptionContributeur sécuritéStatut 5 avril 2014 Dernière intervention - 15 févr. 2013 à 12:13
0
Utile
Ton ordinateur est infecté par plusieurs logiciels publicitaires... Pour éviter ce genre de problème :
- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme O1net, Softronic, Tuto4PC modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.
- Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.

Fais ceci:

- Télécharge sur ton bureau AdwCleaner de Xplode
- Lance AdwCleaner
- Clique sur[Suppression]. Sauvegarde tout travail en cours puis accepte la fermeture des programmes en cours d'exécution.
- Patiente le temps du nettoyage.
- Une fois le scan fini, il te sera proposé de redémarrer.
- Au redémarrage du PC, un rapport s'ouvrira. Poste le contenu dans ta prochaine réponse.
- Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Smart
0
Utile
RogueKiller V8.5.2 [Feb 23 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : 12345 [Droits d'admin]
Mode : Suppression -- Date : 02/03/2013 23:26:48
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 4 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : icaretup (rundll32 "C:\Users\12345\AppData\Local\Temp\charentc.dll",CreateProcessNotify) [-] -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : finddVol (rundll32 "C:\Users\12345\AppData\Local\Temp\charentc64.dll",CreateProcessNotify) [-] -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9500325AS +++++
--- User ---
[MBR] 9985071f174f629b82949062fdd248a2
[BSP] 20e72aa33309bb5c58103ac7453c4066 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 463437 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 952195072 | Size: 12000 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_02032013_232648.txt >>
RKreport[1]_S_02032013_232509.txt ; RKreport[2]_D_02032013_232648.txt
Smart91 29175 Messages postés dimanche 15 juillet 2007Date d'inscriptionContributeur sécuritéStatut 5 avril 2014 Dernière intervention - 27 mars 2013 à 00:07
0
Utile
J'attendais la réponse de Sarah :o)

Smart