Win32:Dracur-C [Cryp]Résolu/Fermé

Question

Bonjour, 



Bonjour j'ai moi aussi le virus Win32:Dracur-C [Cryp] et je ne peux rien en faire avec avast, comment puis-je faire?

juju666 · Answer

Salut,

On va faire un diagnostic pour y voir plus clair:

Salut,  

* Télécharge ZHP: https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html  
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.  
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)  
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


@+

Flavien · Answer

Merci de prendre le temps de m'aider, voici le lien : http://www.cijoint.fr/cjlink.php?file=cj201008/cijtkUy4Uy.txt

Je serai là ce soir si tu as du temps!
Flavien

Flavien · Answer

Ok merci beaucoup!!

Flavien · Answer

Ah ouais c'est embêtant!

juju666 · Answer

Télécharge [url=http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe][b] [color=#FF0000][u]>-> AD-Remover <-

juju666 · Answer

Télécharge [url=https://www.ionos.fr/?affiliate_id=77097][b][color=#FF0000][u]>-> USBfix <-

Flavien · Answer

Je fais les deux procédures?
Voici la première

============== ACTION(S) ==============


0,Fichier supprimé: C:\Users\Public\MyWebTattoo.exe
0,Dossier supprimé: C:\Users\Flavien\AppData\Roaming\SystemProc
0,Dossier supprimé: C:\Program Files\Fast Browser Search
0,Dossier supprimé: C:\Program Files\SGPSA

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{57CADC46-58FF-4105-B733-5A9F3FC9783C}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
1,Clé supprimée: HKLM\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}
1,Clé supprimée: HKLM\Software\Classes\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}
1,Clé supprimée: HKLM\Software\Classes\Interface\{9EBB289A-2D7B-465B-825F-1530B813E95A}
1,Clé supprimée: HKLM\Software\Classes\Interface\{CD5C92AE-97B0-4BC3-BA65-BA0308D543BF}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{3088C799-9630-4719-A471-4544D7CABC2D}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}
0,Clé supprimée: HKLM\Software\Classes\BHO.PSHelper
0,Clé supprimée: HKLM\Software\Classes\BHO.PSHelper.1
0,Clé supprimée: HKLM\Software\Classes\ComObject.DeskbarEnabler
0,Clé supprimée: HKLM\Software\Classes\ComObject.DeskbarEnabler.1
0,Clé supprimée: HKLM\Software\Classes\ToolBand.EasyHideBtn
0,Clé supprimée: HKLM\Software\Classes\ToolBand.EasyHideBtn.1
0,Clé supprimée: HKLM\Software\Classes\ToolBand.SkypeIEHelper
0,Clé supprimée: HKLM\Software\Classes\ToolBand.SkypeIEHelper.1
0,Clé supprimée: HKLM\Software\Classes\URLSearchHook.ToolbarURLSearchHook
0,Clé supprimée: HKLM\Software\Classes\URLSearchHook.ToolbarURLSearchHook.1
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{7C6F05C8-43CA-4AED-9704-8E11B49FB22A}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{12B81B59-584B-4dc4-B630-EB2C2C0E4F34}

0,Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|RTHDBPL
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{91C18ED5-5E1C-4AE5-A148-A861DE8C8E16}
0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.6001.18928] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 56 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 10/08/2010 (5446 Octet(s)) 

Fin à: 21:21:52, 10/08/2010 
 
============== E.O.F ==============

Flavien · Answer

J'ai téléchargé le deuxième mais je n'ai ni clef usb ni disque dur externe avec moi... Donc ça sert à rien, non?

juju666 · Answer

J'aimerais l'entête du rapport AD-R

Si, fait quand même USBFix, et si, si tu n'insère rien, ça marche.

Tu a des clés regestry néfastes gérées par USBFix

Flavien · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 21:19:06 le 10/08/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
Flavien@PC-DE-HP (Hewlett-Packard HP Pavilion dv3500 Notebook PC) 
 
============== ACTION(S) ==============


0,Fichier supprimé: C:\Users\Public\MyWebTattoo.exe
0,Dossier supprimé: C:\Users\Flavien\AppData\Roaming\SystemProc
0,Dossier supprimé: C:\Program Files\Fast Browser Search
0,Dossier supprimé: C:\Program Files\SGPSA

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{57CADC46-58FF-4105-B733-5A9F3FC9783C}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
1,Clé supprimée: HKLM\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}
1,Clé supprimée: HKLM\Software\Classes\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}
1,Clé supprimée: HKLM\Software\Classes\Interface\{9EBB289A-2D7B-465B-825F-1530B813E95A}
1,Clé supprimée: HKLM\Software\Classes\Interface\{CD5C92AE-97B0-4BC3-BA65-BA0308D543BF}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{3088C799-9630-4719-A471-4544D7CABC2D}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}
0,Clé supprimée: HKLM\Software\Classes\BHO.PSHelper
0,Clé supprimée: HKLM\Software\Classes\BHO.PSHelper.1
0,Clé supprimée: HKLM\Software\Classes\ComObject.DeskbarEnabler
0,Clé supprimée: HKLM\Software\Classes\ComObject.DeskbarEnabler.1
0,Clé supprimée: HKLM\Software\Classes\ToolBand.EasyHideBtn
0,Clé supprimée: HKLM\Software\Classes\ToolBand.EasyHideBtn.1
0,Clé supprimée: HKLM\Software\Classes\ToolBand.SkypeIEHelper
0,Clé supprimée: HKLM\Software\Classes\ToolBand.SkypeIEHelper.1
0,Clé supprimée: HKLM\Software\Classes\URLSearchHook.ToolbarURLSearchHook
0,Clé supprimée: HKLM\Software\Classes\URLSearchHook.ToolbarURLSearchHook.1
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{7C6F05C8-43CA-4AED-9704-8E11B49FB22A}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{12B81B59-584B-4dc4-B630-EB2C2C0E4F34}

0,Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|RTHDBPL
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{91C18ED5-5E1C-4AE5-A148-A861DE8C8E16}
0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{1BB22D38-A411-4B13-A746-C2A4F4EC7344}


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.6001.18928] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 56 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 10/08/2010 (5446 Octet(s)) 

Fin à: 21:21:52, 10/08/2010 
 
============== E.O.F ==============

Flavien · Answer

Pour le deuxième il ne se passe rien quand je l'ouvre même quand je fais exécuter  en mode administrateur. J'ai pourtant coupé mon antivirus... Je fais quoi?

juju666 · Answer

Essaye de le re-télécharger et de l'exécuter en mode administrateur.

Si pas, tente le en mode sans échec.

Si toujours aucun résultat, on va détruire manuellement ce que j'aime pas :D

Flavien · Answer

Même en mode sans échec l'application téléchargée ne se lance pas...
Dsl...

juju666 · Answer

Bonsoir,

Pourrais tu me refaire un ZHPDiag?

On va procéder autrement.

Flavien · Answer

Tiens : http://www.cijoint.fr/cjlink.php?file=cj201008/cijZbO6wah.txt

juju666 · Answer

Vas tu continuer à utiliser bitorent?

C'est avec ce genre de chose qu'on attrape des virus.

Dis moi oui ou non, si non, je le désinstalle par la même occasion.

Flavien · Answer

Non non c'est bon

Flavien · Answer

Tout ce qui est Limewire and co j'avais commencé à désinstaller! S'il en reste on peut tout virer.

juju666 · Answer

[*] Télécharge sur le bureau Navilog1

    [*] Si ton antivirus s'affole , le désactiver

    [*] sous vista : Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisis "Exécuter en tant qu'administrateur"

    [*] sous XP : double-clic dessus pour le lancer

    [*] taper 1 pour Français

    [*] Appuyer sur une touche jusqu'à arriver aux options

    [*] Choisir Recherche/Désinfection automatique ( = taper 1 )

    [*] un rapport : fixnavi.txt  dans ==> C :

    [*] le copier et le coller dans la réponse

Flavien · Answer

Fix Navipromo version 4.0.9 commencé le 12/08/2010 18:31:22,31

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:
avilog1

Mise à jour le 21.06.2010 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista(TM) Édition Familiale Premium  ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     T5800  @ 2.00GHz )
BIOS : Default System BIOS
USER : Flavien ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:222 Go (Free:47 Go)
D:\ (Local Disk) - NTFS - Total:10 Go (Free:1 Go)
E:\ (CD or DVD)


Recherche executée en mode normal 


[b]Aucune Infection Navipromo/Egdaccess trouvée[/b]



*** Scan terminé 12/08/2010 18:31:40,86 ***

juju666 · Answer

Bizarre, certains fichiers étaient traités avec Navilog.... ????


Tant pis, c'est un rootkit de toute manière, on va frapper fort:

  [b]/!\ Attention /!\[/b]
    Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.


    /!\ Désactive tous tes logiciels de protection /!\

    * Télécharge [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]ComboFix[/url] (de sUBs) sur ton Bureau.
    * Double-clique sur ComboFix.exe afin de le lancer.
    * Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
    * Ne touche à rien pendant le scan.
    * Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Flavien · Answer

Voici le rapport : http://www.cijoint.fr/cjlink.php?file=cj201008/cijvBm0NZR.txt
J'ai un problème : je ne peux plus accéder à Internet sans utiliser le mode sans échec avec prise en charge réseau depuis que j'ai utilisé le programme! Il y a un problème de clef registre ou qq chose comme ça...

Flavien · Answer

Bon c'est bon pour Internet au 3ème redémarrage =)

juju666 · Answer

Refais une analyse avec ZHP pour en voir où nous en sommes arrivés exactement et si des résidus sont toujours présents.

Flavien · Answer

Tiens : http://www.cijoint.fr/cjlink.php?file=cj201008/cijx2beUg7.txt

juju666 · Answer

C'est un PC du taf? 

Si non: 

Copie les lignes en gras :: 
 
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BE0CCC4-CCED-4A11-BFCD-CDF058F88A2C}: DhcpNameServer = 212.27.40.241 212.27.40.240 
O17 - HKLM\System\CS1\Services\Tcpip\..\{5BE0CCC4-CCED-4A11-BFCD-CDF058F88A2C}: DhcpNameServer = 212.27.40.241 212.27.40.240 
O17 - HKLM\System\CS3\Services\Tcpip\..\{5BE0CCC4-CCED-4A11-BFCD-CDF058F88A2C}: DhcpNameServer = 212.27.40.241 212.27.40.240 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 212.27.40.241 212.27.40.240 
O69 - SBI: SearchScopes [HKCU] ${searchCLSID} - (@ieframe.dll,-12512) - https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8
O69 - SBI: SearchScopes [HKCU] {9C4ABB0B-FB98-44C9-9782-9B63CEBF0D7A} [DefaultScope] - (AOL Recherche) - http://slirsredirect.search.aol.com 
O69 - SBI: SearchScopes [HKCU] {C6BB4414-BD63-4259-9E28-F5C2252B568D} - (Kelkoo) - http://fr.kelkoopartners.net 

Lance ZHPFix (pas Diag!!) 

Le texte doit apparaitre. 

Clique sur Nettoyer 

Ok 

Poste le rapport 

Redémarre ta machine. 

@+ 

En formation avancée chez Helper-Formation. 
Pas de demande de support par MP !!! Le forum est fait pour ça. Merci de votre compréhension.

Flavien · Answer

Quel texte doit apparaître??

Flavien · Answer

Je fais quoi avec les liens et tout??
Dsl...

juju666 · Answer

Le texte qui est en gras. 

Tu le copie: CTRL+C 

ensuite tu lance ZHPFix 

ce même texte doit apparaître 

Et là tu fais la suite (nettoyer, reboot,...) 



EDIT:

excuse moi, tu dois ouvrir ZHPFix et ensuite cliquer sur le H en rouge (coller les lgnes Helper)

Avec toutes mes excuses.
En formation avancée chez Helper-Formation. 
Pas de demande de support par MP !!! Le forum est fait pour ça. Merci de votre compréhension.

juju666 · Answer

j'ai édité j'avais oublié une petite chose. 
En formation avancée chez Helper-Formation. 
Pas de demande de support par MP !!! Le forum est fait pour ça. Merci de votre compréhension.

Flavien · Answer

En fait je vois juste une liste de O42 etc. à cocher à gauche et pas ce que j'ai copié collé. Je dois bien virer les liens pour le copié collé, non?

Flavien · Answer

Ok ;) merci

Flavien · Answer

T'as besoin que de ça? 

Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-13-08-2010-18-26-43.txt
Run by Flavien at 13/08/2010 18:26:43
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Elément(s) de donnée du Registre ==========
O17 - HKLM\System\CS1\Services\Tcpip\..\{5BE0CCC4-CCED-4A11-BFCD-CDF058F88A2C}: DhcpNameServer = 212.27.40.241 212.27.40.240  => Donnée supprimée avec succès
O17 - HKLM\System\CS3\Services\Tcpip\..\{5BE0CCC4-CCED-4A11-BFCD-CDF058F88A2C}: DhcpNameServer = 212.27.40.241 212.27.40.240  => Donnée supprimée avec succès
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 212.27.40.241 212.27.40.240  => Donnée supprimée avec succès
O69 - SBI: SearchScopes [HKCU] {9C4ABB0B-FB98-44C9-9782-9B63CEBF0D7A} [DefaultScope] - (AOL Recherche) - http://slirsredirect.search.aol.com  => Donnée supprimée avec succès
O69 - SBI: SearchScopes [HKCU] {C6BB4414-BD63-4259-9E28-F5C2252B568D} - (Kelkoo) - http://fr.kelkoopartners.net  => Donnée supprimée avec succès


========== Récapitulatif ==========
5 : Elément(s) de donnée du Registre


End of the scan

Flavien · Answer

Je redémarre à tout de suite.

juju666 · Answer

C'est bon oui merci :)

j'attend le new ZHPDiag

Flavien · Answer

Tiens http://www.cijoint.fr/cjlink.php?file=cj201008/cijVCN1pir.txt

Flavien · Answer

Je reviens vers 20h30 a toute

juju666 · Answer

Vu qu'il se fait en mode récurent....

/!\ Attention /!\
    Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.


    /!\ Désactive tous tes logiciels de protection /!\

    * Télécharge ComboFix sur ton bureau
    * Double-clique sur ComboFix.exe afin de le lancer.
    * Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
    * Ne touche à rien pendant le scan.
    * Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Flavien · Answer

Tiens : http://www.cijoint.fr/cjlink.php?file=cj201008/cijZY3DZ7Y.txt

juju666 · Answer

Fais un scan avec ton antivirus et poste son rapport

Ta version d'Adobe Reader comporte des vulnérabilités qui permettent l'infection de ton système.

Tout est expliqué sur cette page : https://forum.malekal.com/viewtopic.php?t=13629&start=

Ton PC est donc vulnérable tant que tu n'as pas mis à jour Adobe Reader.

Mets le à jour et prendre l'habitude de maintenir tous tes logiciels à jour sinon c'est l'infection à cout sûr.

Éventuellement faire un scan de vulnérabilités ou installer un des programmes pour prendre l'habitude de maintenir tous les logiciels à jour et donc ne pas avoir de failles de sécurité : https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/


Finir le nettoyage :
- Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d'espace entre le / et le uninstall)
- Vide les quarantaine des logiciels utilisés (MBAM, Antivirus)
- Sécurise la navigation avec Firefox Sécurité (NoScript + AdBlock) : https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
- Désactive puis réactive la restauration du système :
- Mode d'emploi Windows XP - Mode d'emploi pour désactiver/réactiver la restauration système pour Windows Vista
- Tu peux ensuite désinstaller tous les programmes que l'on a utilisé.

Quelques points essentiels sur la sécurité de ton PC :

- La sécurité, c'est toi qui l'a fait et non les programmes que tu installes, si tu ne connais pas un minimum sur la manière dont les infections se propagent, tu seras réinfecté car ce sera facile de te piéger.
- On ouvre pas n'importe quel fichier [b]quelque soit le prétexte/b. Derrière n'importe quel fichier un malware peut se cacher, on réfléchit quand on te propose un fichier sur un site, on bannit les cracks et P2P.
- On maintient son système à jour et TOUS ses logiciels à jour pour combler les vulnérabilités

Pour aller plus loin : Sécuriser son ordinateur (version courte)

___________________________________


je t'invite à lire ce PDF (cliquer sur la bannière si dessous), ce PDF explique comment les infections se propagent, les bonnes habitudes à avoir pour ne plus se faire infecter et comment sécuriser ton ordinateur, lis tout attentivement, [b]n'hésite surtout pas à l'envoyer à tous tes amis par mail pour les sensibiliser/b :

[url=https://www.malekal.com/projet-antimalware-2/][img]https://www.malekal.com/fichiers/projetantimalwares/reagir_miniban.gif/img/url

Flavien · Answer

J'ai gardé la fenêtre avast ouverte, mais comment je copie le rapport? ctrl+c ne marche pas...

Flavien · Answer

Je fais quand même la suite même si t'as pas le rapport (je garde la fenêtre du rapport avast ouverte jusqu'à ta réponse)??

Flavien · Answer

Tiens en fait c'est bon ;)
http://img831.imageshack.us/img831/506/captureru.jpg

juju666 · Answer

[*] Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau 

    [*] Double-clique sur OTM.exe pour le lancer. 

    [*] Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved. 
    
    ----------------------------- 

:Processes
explorer.exe

:files 
C:\Windows\System32\dsauth32.dll 
C:\Users\Flavien\AppData\LocalLow\Sun\Deployment\cache\6.0\60\5af370fc-7f2c243b\vmain.class 
C:\Users\Flavien\AppData\LocalLow\Sun\Deployment\cache\6.0\50\3729ef72-5373fc8b\vmain.class 
C:\Users\Flavien\AppData\LocalLow\Sun\Deployment\cache\6.0\43\3647d36b-23c4d477\vmain.class 
C:\Users\Flavien\AppData\LocalLow\Sun\Deployment\cache\6.0\43\3647d36b-23c4d477\vload.class 
C:\Users\Flavien\AppData\LocalLow\Sun\Deployment\cache\6.0\16\d1c5590-75edb9b1\vmain.class

:commands 
[start explorer]
[resethosts]
[emptytemp]
[reboot]
 


    ----------------------------- 
     
    [*] clique sur MoveIt! puis ferme OTM. 

    [*] Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 

    [*] Accepte en cliquant sur YES. 

    [*] Poste le rapport situé dans C:\_OTM\MovedFiles. 

    [*] Le nom du rapport correspond au moment de sa création : date_heure.log 
En formation avancée chez Helper-Formation. 
Pas de demande de support par MP !!! Le forum est fait pour ça. Merci de votre compréhension.

Flavien · Answer

Comment je vide les quarantaines des logiciels utilisés?

Flavien · Answer

Je restaure lesquels de là-dedans?? http://img189.imageshack.us/img189/8761/capturer2y.jpg

juju666 · Answer

Il ne faut rien restaurer !!!!!!



T'es fou ou quoi? xD

Supprime les tous. Tu vide la 40aine quoi.

T'a fais OTM???

Flavien · Answer

Non pas encore

Flavien · Answer

Je voulais finir les instructions d'hier avant

Flavien · Answer

Je redémarre et je lance OTM

Flavien · Answer

Ah! trop tard... Bon pg je commence OMT

Flavien · Answer

Il m'affiche ça à droite sans me demander de redémarrer Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! Error: Unable to interpret in the current context! OTM by OldTimer - Version 3.1.15.0 log created on 0814201

Flavien · Answer

Voici le premier rapport (l'opération a été interrompue par avast -_- ) (peut être en as-tu besoin) :



Files moved on Reboot...
File C:\Windows\System32\dsauth32.dll not found!

Registry entries deleted on Reboot...


Et voici le second avec avast coupé :

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
File/Folder C:\Windows\System32\dsauth32.dll not found.
File/Folder C:\Users\Flavien\AppData\LocalLow\Sun\Deployment\cache\6.0\60\5af370fc-7f2c243b\vmain.class not found.
File/Folder C:\Users\Flavien\AppData\LocalLow\Sun\Deployment\cache\6.0\50\3729ef72-5373fc8b\vmain.class not found.
File/Folder C:\Users\Flavien\AppData\LocalLow\Sun\Deployment\cache\6.0\43\3647d36b-23c4d477\vmain.class not found.
File/Folder C:\Users\Flavien\AppData\LocalLow\Sun\Deployment\cache\6.0\43\3647d36b-23c4d477\vload.class not found.
File/Folder C:\Users\Flavien\AppData\LocalLow\Sun\Deployment\cache\6.0\16\d1c5590-75edb9b1\vmain.class not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Flavien
->Temp folder emptied: 33708 bytes
->Temporary Internet Files folder emptied: 246937662 bytes
->Java cache emptied: 49776442 bytes
->Google Chrome cache emptied: 1587070783 bytes
->Flash cache emptied: 14425706 bytes
 
User: Public
->Temp folder emptied: 0 bytes

juju666 · Answer

Je comprend mieux pourquoi avast ne les avait pas supprimés.....


Désinstalle Avast, on va mettre Antivir c'est mieux :D

Flavien · Answer

T'es sûr?

juju666 · Answer

Alors, tu as un outil pour supprimer Avast : https://www.avast.com/uninstall-utility

Avira: https://www.softpedia.com/get/Antivirus/AntiVir-Personal-Edition.shtml#download

Lance une analyse complète après instal.

@ +

Flavien · Answer

Tiens c'est le rapport après installation (automatique et rapide) :
http://www.cijoint.fr/cjlink.php?file=cj201008/cijSwpIXP7.txt

Flavien · Answer

T'as besoin du rapport?

juju666 · Answer

Oui STP :D

Flavien · Answer

J'avais pas fait le bon truc j'avais lancé chercher les rootkits -_-
Donc j'ai lancé "contrôle intégral du système" dès que c'est fini je t'envoie le rapport.

juju666 · Answer

Vu.

Pour moi ton PC est propre...

==> tu peux garder MBAM et faire un scan 1x/semaine avec, ainsi qu'avec ton antivirus.

Avira est très bon, crois moi (nous ^^)

N'oublie surtout pas, dans les procédure données là: https://forums.commentcamarche.net/forum/affich-18787686-win32-dracur-c-cryp?page=2#52

La purge de la restauration du système.

Bon surf et sois prudent....

Pas de cracks/keygens/P2P/sites douteux.

C'est toi qui est le premier antivirus....

@bientôt

Flavien · Answer

Comment je désinstalle Navilog1?

juju666 · Answer

Pour les outils: 

Ouvre ZHPFix et clique sur le A rouge "Désinstaller les outils". 

Redémarre le PC. ZHP est aussi désinstallé. 

Pour MBAM: 

[*] Télécharge Malwarebytes 

    [*] Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement. 

    [*] Fais la mise à jour du logiciel (elle se fait normalement à l'installation) 

    [*] Lance une analyse complète en cliquant sur "Exécuter un examen complet" 

    [*] Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen" 

    [*] L'analyse peut durer un bon moment..... 

    [*] Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats" 

    [*] Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK" 

    [*] Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum 
  
    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée 
En formation avancée chez Helper-Formation. 
Pas de demande de support par MP !!! Le forum est fait pour ça. Merci de votre compréhension.

Flavien · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4432

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

15/08/2010 16:53:08
mbam-log-2010-08-15 (16-53-08).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 316899
Temps écoulé: 1 heure(s), 25 minute(s), 47 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\ProgramData\190846055 (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

juju666 · Answer

Une trace rien de méchant :D

Flavien · Answer

C'est bien fini alors?

Win32:Dracur-C [Cryp]

66 réponses

Discussions similaires

Newsletters