Sujet Précédent Sujet Suivant

Bloqué par Malware/virus/trojan

Fermé
meldireen - Modifié par meldireen le 22/04/2010 à 11:40
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 24 avril 2010 à 22:01
Bonjour, je suis chez des amis qui ont un pc infecté par plusieurs saloperies dont :
- heur.html/malware
- TR/Crypt.ZPACK.Gen.
Leur antivirus est Antivir (Avira). Je ne peux pas les supprimer même quand avira me le propose à chaque fois ils reviennent. Pour heur.html je bloque l'accès et rien ne change et quand au second, lorsque je clique sur supprimer ou mise en quarantaine rien ne change non plus. Je ne peux même pas chercher de solutions sur le net. A chaque requete de scan en ligne (Kaspersky, trendmicro ou autre) je suis soit renvoyé vers une page IE disant que la page est inaccessible ou bien alors la page ne se charge pas du tout. Problème identique lorsque je veux me rendre sur des pages ou telecharger des outils pour les eradiquer tels que malwarebyte, hijackthis ou autre... Il me renvoi sans cesse soit vers d'autres sites (bnp, orange etc...) soit toujours ce même message IE (page non accessible). Je ne peux pas non plus faire les mises a jour avira, ni celle Microsoft. J'ai voulu installer Spybot, il me bloque l'acces à leur serveur au moment de l'installation. Une vraie plaie. Pourriez vous m'aider s'il vous plait.
Dans l'attente de vous lire.

PS ils ont un pc portable Samsung R60 plus et tourne sous Vista SP1. J'ai essaye de rebooter le machine, mais il n'y pas de menu "mode sans echec avec ou sans reseau". Je ne peux que demarrer "normalement" ou bien utiliser "Startup restore" (qui ne corrige rien, j'ai déjà essayé)
A voir également:

45 réponses

Réponse 1 / 45
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 avril 2010 à 11:43
Salut,


infection sérieuse ....


/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).


===========================



Commence par ceci pour avoir un diagnostique précis de la situation :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

> clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ... ( cela peut-être relativement long )


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> Pour me faire parvenir ce rapport, rends toi sur ce site :
http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


0
Réponse 2 / 45
Utilisateur anonyme
22 avril 2010 à 12:00
Hello et merci...
Voici le lien
http://www.cijoint.fr/cjlink.php?file=cj201004/cijmyvdKxz.txt
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
Modifié par sKe69 le 22/04/2010 à 12:05
re,


petite erreur de ma part ... ^^

recommence la manipe stp , mais cette fois fait clique droit/"executer en tant qu'admin..." sur le raccourci de ZHPdiag pour lancer l'outil ... ( car il me manque des informations imporatantes du coup )

poste moi le nouveau rapport obtenu via Cijoint ...
0
Utilisateur anonyme
22 avril 2010 à 12:33
C'est fait
0
Réponse 3 / 45
Utilisateur anonyme
22 avril 2010 à 12:18
No prob.
voici donc le second lien...
http://www.cijoint.fr/cjlink.php?file=cj201004/cijZhBlJn3.txt
0
Réponse 4 / 45
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 avril 2010 à 12:41
et bien ....



y a du boulot ! ....



commence par ceci dans l'ordre :


1- protocole à suivre pour Windows Vista :

*Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :

Aller dans "démarrer" puis "panneau de configuration" :
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
--->Redémarrer le PC !

Tutos :
http://pagesperso-orange.fr/NosTools/uac_vista.html
https://forum.malekal.com/viewtopic.php?f=59&t=6517


* Important :
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
Fais ceci systématiquement ! ...


une fois ceci fait et pris en compte , enchaine ...


===========================

2- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 

C:\Windows\system32\drivers\oko6.sys 
O23 - Service:  (webserver) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\webserver\webserver.exe
O41 - Driver: oko6 (oko6) . (.Jungo - Total Applet Proxy Diskeeper Hex Control.) - C:\Windows\system32\drivers\oko6.sys
O43 - CFD:Common File Directory ----D- C:\Program Files\webserver 
O58 - SDL:[MD5.5A4F638BCD8AD1DA870B9653275CB7F4] - 19/02/2010 - 16:07:28 ---A- . (.Jungo - Total Applet Proxy Diskeeper Hex Control.) -- C:\Windows\system32\drivers\oko6.sys
O64 - Services: CurCS - C:\Windows\system32\drivers\oko6.sys - oko6 (oko6)  .(.Jungo - Total Applet Proxy Diskeeper Hex Control.) - LEGACY_OKO6



Puis Lance ZHPFix ( 'en tant qu'admin...' ) depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres .

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...


=======================

3- Infecté par Navipromo .

-------------------------------------

Pour info,
Les programmes suivants installent cette infection :
- Funky Emoticons
- Games-Attack
- Original-Solitaire
- Go-Astro
- GoRecord
- HotTVPlayer
- Live-Player
- MailSkinner
- Messenger Skinner
- Instant Access
- InternetGameBox
- Sudoplanet
- WebMediaPlayer

---------------------------------------

Télécharge Navilog1 sur ton bureau :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!

Ensuite clique droit / "éxecuter entant qu'admin..." sur navilog1.exe pour lancer l'outil .

Laisse-toi guider. Au menu principal, choisis 1 et valide .
(ne fais pas le choix 2 notre avis/accord) .

Patiente le temps du scan ...

> Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) :
laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuellement (c'est important !) .

Note :
Si l'outil te demande d'effectuer la manipe en mode sans echec, fais le ( /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ).


Patiente jusqu'au message :
*** Scan Terminé le ..... ***

Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite .

(Le rapport est en outre sauvegardé à la racine du disque "C\:cleanavi.txt" )


===========================

4- Refais un scan ZHPDiag ( "en tant qu'admin... ").

* coche bien toutes les options ( sauf la 045 et 061 ),

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 45
Utilisateur anonyme
22 avril 2010 à 13:39
rapport ZHPFIX

ZHPFix v1.12.3092 by Nicolas Coolman - Rapport de suppression du 22/04/2010 13:32:47
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
C:\Windows\system32\drivers\oko6.sys => Supprimé et mis en quarantaine

Module mémoire :
(Néant)

Clé du Registre :
O23 - Service: (webserver) . (.Pas de propriétaire - Pas de description.) - C:\Program Files\webserver\webserver.exe => Clé supprimée avec succès
O41 - Driver: oko6 (oko6) . (.Jungo - Total Applet Proxy Diskeeper Hex Control.) - C:\Windows\system32\drivers\oko6.sys => Clé supprimée avec succès
O64 - Services: CurCS - C:\Windows\system32\drivers\oko6.sys - oko6 (oko6) .(.Jungo - Total Applet Proxy Diskeeper Hex Control.) - LEGACY_OKO6 => Clé non supprimée

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
C:\Program Files\webserver => Supprimé et mis en quarantaine

Fichier :
c:\program files\webserver\webserver.exe => Fichier absent
c:\windows\system32\drivers\oko6.sys => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 3
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 1
Fichier : 2
Logiciel : 0
Master Boot Record : 1
Autre : 0


End of the scan
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 avril 2010 à 13:48
vu ....


continue ... ;)
0
Réponse 6 / 45
Utilisateur anonyme
22 avril 2010 à 13:49
Rapport Navilog

Fix Navipromo version 4.0.8 commencé le 22/04/2010 13:47:52,66

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\navilog1

Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista(TM) Édition Familiale Premium ( v6.0.6000 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz )
BIOS : Ver 1.00PARTTBL#
USER : utilisateur ( Not Administrator ! )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:144 Go (Free:101 Go)
D:\ (Local Disk) - NTFS - Total:143 Go (Free:143 Go)
E:\ (CD or DVD)
0
Réponse 7 / 45
Utilisateur anonyme
22 avril 2010 à 13:57
Nouveau rapport ZHPDIAG.TXT

http://www.cijoint.fr/cjlink.php?file=cj201004/cij62Mz0Ja.txt
0
Réponse 8 / 45
Utilisateur anonyme
22 avril 2010 à 14:02
En attendant ta réponse, je viens de me rendre compte que les mises a jour automatiques de microsoft refonctionnent... Dois les laisser ou les stopper en attendant la suite ?
0
Réponse 9 / 45
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
Modifié par sKe69 le 22/04/2010 à 14:06
re,


Dois les laisser ou les stopper en attendant la suite ?

> stop tout ! ... on fera cela une fois le PC clean, pas avant !




Dans l'ordre :



1- Il y a eu un prb ...

recommence la manipe de Navilog1 et lance le bien en tant qu'admin ! ....

désactive bien tes défences également ....


poste le nouveau rapports obtenu ....


===================

2- Télécharge et installe la dernière version de CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


=====================

3- Télécharges Malwarebytes' :
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe


* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour ( onglet "mise à jour" ).

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


============================

4- Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html




"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0
Réponse 10 / 45
Utilisateur anonyme
22 avril 2010 à 14:18
Autant pour moi, j'avais oublié de me déconnecter... voici donc le nouveau rapport navilog1

En attendant je continue avec ccleaner

Fix Navipromo version 4.0.8 commencé le 22/04/2010 14:08:42,67

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\navilog1

Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista(TM) Édition Familiale Premium ( v6.0.6000 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz )
BIOS : Ver 1.00PARTTBL#
USER : utilisateur ( Not Administrator ! )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:144 Go (Free:99 Go)
D:\ (Local Disk) - NTFS - Total:143 Go (Free:143 Go)
E:\ (CD or DVD)


Recherche executée en mode normal

Nettoyage exécuté au redémarrage de l'ordinateur


C:\Users\utilisateur\AppData\Local\wxihir.exe supprimé !
C:\Users\utilisateur\AppData\Local\wxihir.dat supprimé !
C:\Users\utilisateur\AppData\Local\wxihir_nav.dat supprimé !
C:\Users\utilisateur\AppData\Local\wxihir_navps.dat supprimé !


Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\UTILIS~1\AppData\Local\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok




*** Scan terminé 22/04/2010 14:15:01,85 ***
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 avril 2010 à 14:19
vu ....


c'est beaucoup mieux ! ... ^^


la suite donc ...
0
Réponse 11 / 45
Utilisateur anonyme
22 avril 2010 à 14:29
J'ai lancé ccleaner et fais comme ennoncé, mais malgrès ma persévérance, il demeure une seule et même erreur après le nettoyage du registre qui se nomme :
Extension de fichiers inutilisée {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
0
Réponse 12 / 45
Utilisateur anonyme
22 avril 2010 à 14:46
Voici le rapport Malwarebytes

Je continue avec USBFIX

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4021

Windows 6.0.6000 Service Pack 1
Internet Explorer 7.0.6000.16982

22/04/2010 14:37:26
mbam-log-2010-04-22 (14-37-26).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 111459
Temps écoulé: 3 minute(s), 59 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 33

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\okosrv (Worm.KoobFace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oko6 (Worm.KoobFace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OKO6 (Worm.KoobFace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\currentversion (Trojan.Inject) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Trojan.Agent.M) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\okogrp (Worm.KoobFace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-0324232222-888888379-781133308-1995\recyclebin.exe,explorer.exe,C:\RECYCLER\S-1-5-21-6435041206-5089708960-216430673-1268\recycle.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\RECYCLER\S-1-5-21-0324232222-888888379-781133308-1995 (Trojan.Agent.M) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\RECYCLER\S-1-5-21-0324232222-888888379-781133308-1995\recyclebin.exe (Trojan.Inject) -> Quarantined and deleted successfully.
C:\Program Files\captcha.dll (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-6435041206-5089708960-216430673-1268\recycle.exe (Trojan.Inject) -> Delete on reboot.
C:\Windows\System32\oko6.dll (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266245230.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266246091.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266251390.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266262182.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266299281.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266313115.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266389590.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266389959.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266420222.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266560668.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266604162.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0324232222-888888379-781133308-1995\Desktop.ini (Trojan.Agent.M) -> Quarantined and deleted successfully.
C:\Windows\010112010146111103.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\010112010146114101.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\01011201014650115.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\bk20856.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\bk23567.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\fdgg34353edfgdfdf (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\fs1235.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266252760.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266252769.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266252771.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266252774.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266252780.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266478002.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266478005.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266478006.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266478007.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Windows\rdr_1266478012.exe (Worm.Koobface) -> Quarantined and deleted successfully.
0
Réponse 13 / 45
Utilisateur anonyme
22 avril 2010 à 14:59
Et voici le rapport USBFIX (et au moment ou je tape ce post, j'ai encore une alerte Antivir pour le TR/Crypt.ZPACK.Gen)


############################## | UsbFix V6.107 |

User : utilisateur (Administrateurs) # PC-DE-UTILISATE
Update on 21/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 14:53:02 | 22/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-bit) # Service Pack 1
Internet Explorer 7.0.6000.16982
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 144,09 Go (99,96 Go free) # NTFS
D:\ -> Disque fixe local # 144 Go (143,81 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 7,45 Go (6,73 Go free) [USB 8 GO] # FAT32

################## | Elements infectieux |

F:\autorun.inf
F:\U3ROM\desktop.ini
F:\U3ROM\flyhigh.exe
F:\U3ROM

################## | Registre |

[HKLM\software\microsoft\windows nt\currentversion\winlogon] "Taskman"

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\G
shell\AutoRun\command =G:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{2142766b-1609-11df-a722-0013776cc8ac}
shell\AutoRun\command =F:\U3ROM/flyhigh.exe
shell\Explore\Command =F:\U3ROM/flyhigh.exe
shell\opeN\commanD =F:\U3ROM/flyhigh.exe

HKCU\..\..\Explorer\MountPoints2\{916a2fcf-eed1-11de-bae8-0013776cc8ac}
shell\AutoRun\command =F:\U3ROM/flyhigh.exe
shell\Explore\Command =F:\U3ROM/flyhigh.exe
shell\opeN\commanD =F:\U3ROM/flyhigh.exe

HKCU\..\..\Explorer\MountPoints2\{d86f00da-6b97-11de-b00d-0013776cc8ac}
shell\AutoRun\command =F:\InstallTomTomHOME.exe

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.107 ! |
0
Réponse 14 / 45
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
Modifié par sKe69 le 22/04/2010 à 16:09
re,

(et au moment ou je tape ce post, j'ai encore une alerte Antivir pour le TR/Crypt.ZPACK.Gen

> cela ne m'étonne pas ... on a encore du travail ! ... ^^



la suite dans l'ordre :


1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Clique droit / "executer en tant qu'admin..." sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\

=========================

2- Toujours tes unité externes branchées au PC !

Relance de nouveau UsbFix "en tant qu'admin..." et choisis cette fois l'option 5 5 listing ).

laisse travailler l'outil et poste moi le nouveau rapport obtenu pour analyse ...


=========================

3- Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ),

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...




"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0
Réponse 15 / 45
Utilisateur anonyme
22 avril 2010 à 17:45
Après une petite pose... voici le rapport USBFIX choix 2

et je continue...


############################## | UsbFix V6.107 |

User : utilisateur (Administrateurs) # PC-DE-UTILISATE
Update on 21/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 17:35:47 | 22/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-bit) # Service Pack 1
Internet Explorer 7.0.6000.16982
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 144,09 Go (99,88 Go free) # NTFS
D:\ -> Disque fixe local # 144 Go (143,81 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 7,45 Go (6,73 Go free) [USB 8 GO] # FAT32

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-2517832360-3847001405-4034661461-1003
Supprimé ! C:\Recycler\S-1-5-21-0259447055-9052461727-393745204-4198
Supprimé ! C:\Recycler\S-1-5-21-0414086824-3892400223-688750714-0492
Supprimé ! C:\Recycler\S-1-5-21-0694477267-6220413158-723567908-5128
Supprimé ! C:\Recycler\S-1-5-21-0790502253-6135648217-697539560-6678
Supprimé ! C:\Recycler\S-1-5-21-1484939701-8745989757-556905770-9481
Supprimé ! C:\Recycler\S-1-5-21-1660505988-5599254721-537292596-2671
Supprimé ! C:\Recycler\S-1-5-21-1893022965-4224669292-553304778-4669
Supprimé ! C:\Recycler\S-1-5-21-1910506892-0824082193-183825161-0515
Supprimé ! C:\Recycler\S-1-5-21-2453906857-3757194385-344762478-9246
Supprimé ! C:\Recycler\S-1-5-21-2893716131-0783289976-449855383-9996
Supprimé ! C:\Recycler\S-1-5-21-3196076147-2668734892-897332838-7352
Supprimé ! C:\Recycler\S-1-5-21-3865730238-9668552967-776578793-7644
Supprimé ! C:\Recycler\S-1-5-21-3989094334-8054254082-833101146-4996
Supprimé ! C:\Recycler\S-1-5-21-4097028361-0881631303-526150849-6176
Supprimé ! C:\Recycler\S-1-5-21-4811080446-0309128073-905631505-2884
Supprimé ! C:\Recycler\S-1-5-21-5069975286-4171177308-541582655-2584
Supprimé ! C:\Recycler\S-1-5-21-5230310847-1207817581-184258520-0804
Supprimé ! C:\Recycler\S-1-5-21-5461433695-8137554213-636427938-9055
Supprimé ! C:\Recycler\S-1-5-21-6435041206-5089708960-216430673-1268
Supprimé ! C:\Recycler\S-1-5-21-6599527177-6811408745-911119091-1872
Supprimé ! C:\Recycler\S-1-5-21-6720627375-2456889883-729508046-3383
Supprimé ! C:\Recycler\S-1-5-21-6962213832-5005930894-198689075-0648
Supprimé ! C:\Recycler\S-1-5-21-6990684349-1072581237-077389150-4322
Supprimé ! C:\Recycler\S-1-5-21-7133270060-1466268117-912766654-1862
Supprimé ! C:\Recycler\S-1-5-21-7282451168-6687637546-956519754-9274
Supprimé ! C:\Recycler\S-1-5-21-8362603693-7231597876-173738147-1973
Supprimé ! C:\Recycler\S-1-5-21-8849954269-8401942450-586937849-9339
Supprimé ! C:\Recycler\S-1-5-21-9297797661-0116576508-312855603-5600
Supprimé ! C:\Recycler\S-1-5-21-9421601334-5428285899-053198363-4067
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2517832360-3847001405-4034661461-1003
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2517832360-3847001405-4034661461-501
F:\autorun.inf -> fichier appelé : "F:\U3ROM/flyhigh.exe" ( Présent ! )
(!) Non supprimé ! F:\U3ROM/flyhigh.exe
F:\autorun.inf -> fichier appelé : "F:\U3ROM/flyhigh.exe" ( Présent ! )
(!) Non supprimé ! F:\U3ROM/flyhigh.exe
Supprimé ! F:\autorun.inf
Supprimé ! F:\U3ROM\desktop.ini
Supprimé ! F:\U3ROM\flyhigh.exe
Supprimé ! F:\U3ROM

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{2142766b-1609-11df-a722-0013776cc8ac}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{916a2fcf-eed1-11de-bae8-0013776cc8ac}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{d86f00da-6b97-11de-b00d-0013776cc8ac}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[18/09/2006 23:43|--a------|24] C:\autoexec.bat
[19/01/2008 09:45|-rahs----|333203] C:\bootmgr
[16/11/2006 12:39|-ra-s----|8192] C:\BOOTSECT.BAK
[22/04/2010 14:15|--a------|1362] C:\cleannavi.txt
[18/09/2006 23:43|--a------|10] C:\config.sys
[?|?|?] C:\hiberfil.sys
[23/05/2008 15:28|-rahs----|0] C:\IO.SYS
[23/05/2008 15:28|-rahs----|0] C:\MSDOS.SYS
[?|?|?] C:\pagefile.sys
[25/04/2007 16:45|--a------|631] C:\PDVD.iss
[10/05/2008 03:10|--a------|360] C:\RHDSetup.log
[18/02/2010 13:44|--a------|6996] C:\rollback.ini
[13/10/2008 20:04|--a------|90] C:\Setup.log
[22/04/2010 17:41|--a------|4512] C:\UsbFix.txt
[22/04/2010 13:32|--a------|4680] C:\ZHPExportRegistry-22-04-2010-13-32-47.txt
[11/10/2009 20:27|--a------|16046] D:\0x040c.ini
[11/10/2009 20:28|--a------|111104] D:\1036.MST
[18/11/2008 23:05|--a------|556366] D:\animaul 003.JPG
[11/10/2009 20:29|--a------|97979392] D:\Samsung New PC Studio.msi
[09/04/2010 08:34|--a------|338774] F:\dossier sur les perroquet.odt
[24/03/2010 05:38|--a------|771934188] F:\LA BRIGADE DES FEUILLES - Les Chevaliers du fiel (DvB-Rip) [XviD-Fr] par PapyJack.avi

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-utilisate.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.107 ! |
0
Réponse 16 / 45
Utilisateur anonyme
22 avril 2010 à 17:48
Et maintenant le rapport USBFIX choix 5


############################## | UsbFix V6.107 |

User : utilisateur (Administrateurs) # PC-DE-UTILISATE
Update on 21/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 17:46:42 | 22/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-bit) # Service Pack 1
Internet Explorer 7.0.6000.16982
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 144,09 Go (99,78 Go free) # NTFS
D:\ -> Disque fixe local # 144 Go (143,81 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 7,45 Go (6,73 Go free) [USB 8 GO] # FAT32

###################### | Listing des fichiers présents C:\ |

[18/09/2006 23:43|--a------|24] - C:\autoexec.bat
[19/01/2008 09:45|-rahs----|333203] - C:\bootmgr
[16/11/2006 12:39|-ra-s----|8192] - C:\BOOTSECT.BAK
[22/04/2010 14:15|--a------|1362] - C:\cleannavi.txt
[18/09/2006 23:43|--a------|10] - C:\config.sys
[?|?|?] - C:\hiberfil.sys
[23/05/2008 15:28|-rahs----|0] - C:\IO.SYS
[23/05/2008 15:28|-rahs----|0] - C:\MSDOS.SYS
[?|?|?] - C:\pagefile.sys
[25/04/2007 16:45|--a------|631] - C:\PDVD.iss
[10/05/2008 03:10|--a------|360] - C:\RHDSetup.log
[18/02/2010 13:44|--a------|6996] - C:\rollback.ini
[13/10/2008 20:04|--a------|90] - C:\Setup.log
[22/04/2010 17:46|--a------|1383] - C:\UsbFix.txt
[22/04/2010 17:41|--a------|215395] - C:\UsbFix_Upload_Me_PC-de-utilisate.zip
[22/04/2010 13:32|--a------|4680] - C:\ZHPExportRegistry-22-04-2010-13-32-47.txt

###################### | Listing des dossiers présents C:\ |

[22/04/2010 17:39|d--hs----|4096] - C:\$Recycle.Bin
[22/04/2010 07:43|d--------|4096] - C:\90e5b598006a050b0e
[22/04/2010 17:41|drahs----|0] - C:\autorun.inf
[10/05/2008 07:08|d--------|0] - C:\avs contents
[21/04/2010 18:42|d--hs----|4096] - C:\Boot
[02/11/2006 15:02|d--hs---l|0] - C:\Documents and Settings
[10/05/2008 06:49|dr-h-----|0] - C:\MSOCache
[10/05/2008 03:21|d--------|0] - C:\MyWorks
[22/04/2010 14:15|d-a------|4096] - C:\Navilog1
[21/04/2010 18:29|d--------|0] - C:\PerfLogs
[22/04/2010 14:37|dr-------|28672] - C:\Program Files
[22/04/2010 14:30|d--h-----|8192] - C:\ProgramData
[22/04/2010 17:37|dr-hs----|12288] - C:\RECYCLER
[31/01/2010 19:45|d--------|0] - C:\Samsung
[21/04/2010 23:15|d--hs----|20480] - C:\System Volume Information
[22/04/2010 17:46|d--------|4096] - C:\UsbFix
[22/04/2010 07:43|dr-------|4096] - C:\Users
[22/04/2010 14:42|d--------|36864] - C:\Windows

###################### | Listing des fichiers présents D:\ |

[11/10/2009 20:27|--a------|16046] - D:\0x040c.ini
[11/10/2009 20:28|--a------|111104] - D:\1036.MST
[18/11/2008 23:05|--a------|556366] - D:\animaul 003.JPG
[11/10/2009 20:29|--a------|97979392] - D:\Samsung New PC Studio.msi

###################### | Listing des dossiers présents D:\ |

[22/04/2010 17:41|d--hs----|0] - D:\$RECYCLE.BIN
[22/04/2010 17:41|drahs----|0] - D:\autorun.inf
[18/09/2009 22:00|d--------|0] - D:\EMULE
[11/07/2008 21:56|d--hs----|0] - D:\System Volume Information

###################### | Listing des fichiers présents F:\ |

[09/04/2010 08:34|--a------|338774] - F:\dossier sur les perroquet.odt
[24/03/2010 05:38|--a------|771934188] - F:\LA BRIGADE DES FEUILLES - Les Chevaliers du fiel (DvB-Rip) [XviD-Fr] par PapyJack.avi

###################### | Listing des dossiers présents F:\ |

[09/04/2010 06:58|d--------|0] - F:\Nouveau dossier
[22/04/2010 17:41|drahs----|0] - F:\autorun.inf

################## | ! Fin du rapport # UsbFix V6.107 ! |
0
Réponse 17 / 45
Utilisateur anonyme
22 avril 2010 à 17:55
et voici le rapport ZHPDIAG

http://www.cijoint.fr/cjlink.php?file=cj201004/cijJMpDlxZ.txt
0
Réponse 18 / 45
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 avril 2010 à 19:04
bien ...


on avance ... ^^


la suite dans l'ordre :


1- Si ce n'est pas déjà fait , Rends sur cette page :
> https://www.ionos.fr/?affiliate_id=77097

* clique sur "parcourir" et va jusqu'au fichier C:\UsbFix_Upload_Me_PC-de-utilisate.zip

* En dessous de "Sélectionnez l'outil que vous venez d'utiliser" , choisis UsbFix .


* puis clique sur "envoyer le fichier" ... patiente le temps du transfère ...

* Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_PC-de-utilisate.zip


merci d'avoir fait cette remonté qui permettra aux auteurs de l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant ... ^^


===========================

2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/

! Déconnecte toi, désactive ton anti-virus et ferme toutes applications en cours (Navigateur compris) !

* Clique droit / "executer en tant qu'admin..." sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

* Une fois l'outil ouvert, clique sur le bouton [Scanner] .

* Laisse travailler l'outil et ne touche à rien ...


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...


( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

0
Réponse 19 / 45
Utilisateur anonyme
22 avril 2010 à 19:14
Rapport AD-R

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,C | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 22/04/10 à 19:00
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 19:06:32 le 22/04/2010 | Mode normal | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows Vista(TM) HomePremium Service Pack 1 - X86
Nom du PC: PC-DE-UTILISATE (SAMSUNG ELECTRONICS CO., LTD. R59P/R60P/R61P)
Utilisateur actuel: utilisateur (Administrateur)
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
C:\Program Files\Kiwee Toolbar
C:\ProgramData\Kiwee Toolbar
C:\Users\Invité\AppData\Local\Microsoft\Windows\Temporary Internet Files\Virtualized\C\Users\Invité\AppData\Roaming\agi
C:\Users\Invité\AppData\LocalLow\Kiwee Toolbar
C:\Users\Invité\AppData\Roaming\EoRezo
C:\Users\utilisateur\AppData\Local\ljpglrh.bat
C:\Users\utilisateur\AppData\LocalLow\Kiwee Toolbar
C:\Users\utilisateur\AppData\Roaming\AGI
C:\Users\utilisateur\AppData\Roaming\EoRezo
.
HKCU\Software\AGI
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
HKLM\Software\Classes\CLSID\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
HKU\.DEFAULT\Software\AGI
HKU\S-1-5-18\Software\AGI
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{6638A9DE-0745-4292-8A2E-AE530E7B9B3F}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eoengine
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version Impossible d'obtenir la version *
.
.
.
* Internet Explorer Version 7.0.6000.16982 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp:\\www.samsungcomputer.com
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Show_ToolBar: yes
Start Page: hxxp://www.google.fr/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp:\\www.samsungcomputer.com
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Users\UTILIS~1\AppData\Local\Temp: 4 Fichier(s), 4 Dossier(s)
C:\Windows\temp: 0 Fichier(s), 2 Dossier(s)
C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Cookies: 30 Fichier(s), 2 Dossier(s)
Temporary Internet Files: 38 Fichier(s), 11 Dossier(s)
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 1 Fichier(s)
.
C:\Ad-Report-SCAN[1].txt - 2844 Octet(s)
.
Fin à: 19:11:57, 22/04/2010
.
============== E.O.F - SCAN[1] ==============
0
Réponse 20 / 45
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
Modifié par sKe69 le 22/04/2010 à 19:46
Bien ....



dans l'ordre :


1- On va réutiliser Navilog1 encore une fois mais de cette manière :


!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!

Ensuite clique droit / "éxecuter entant qu'admin..." sur navilog1.exe pour lancer l'outil .

Laisse-toi guider. Au menu principal, choisis 2 et valide .

> L'outil va te demander de saisir un nom de fichier. Saisis ce qui est en gras ci-dessous et rien d'autre :


ljpglrh


--->puis valide .

L'outil va te demander de le re-saisir encore une fois. Fais le et valide.

Laisse faire le nettoyage et laisse toi guider ...

> Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) :
laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuelement (c'est important !) .

Note :
Si l'outil te demande d'effectuer la manipe en mode sans echec, fais le ( /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ).


Patiente jusqu'au message :
*** Scan Terminé le ..... ***

Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite .

(Le rapport est en outre sauvegardé à la racine du disque "C\:cleanavi.txt" )




=========================

2- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !


* droit / "éxecuter entant qu'admin..." sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

* Clique cette fois sur [Nettoyer] .

* Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...


--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log)
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


========================

3- Refais un scan ZHPDiag ( "en tant qu'admin..." ) .

* coche bien toutes les options ( sauf la 045 et 061 ),

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0

Discussions similaires

Comment supprimer tor.jack sur Android
sabinelouisonbruno -
akaloupile -

4 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses