Sujet Précédent Sujet Suivant

Confirmation de desinfection

Résolu/Fermé
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 - 1 juil. 2011 à 14:41
 Utilisateur anonyme - 3 juil. 2011 à 18:12
Bonjour,

Je me suis vue confier un vieil ordi fix tournant sous XP pour une remise en fonction (ne démarrais plus, très lent et tout le blabla qui va avec).

J'ai donc commencé par démarrer en mode sans échec, puis j'ai passé ma panoplie "pack nettoyage" (ccleaer, rglary utilities, diskdfrag, regseeker)
Puis avec un coup d'hijackthis, j'ai été horrifié. J'ai donc lancé mon pack désinfection...mais manque de pot, n'ayant pas internet, je n'avais que malwarebyte anti malware avec une base de registre vieille de 150 jours qui voulais bien fonctionner.

Au final, voici ce qui en est ressorti: 


Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5214

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

01/07/2011 00:16:06
mbam-log-2011-07-01 (00-16-06).txt

Type d'examen: Examen complet (C:\|D:\|J:\|)
Elément(s) analysé(s): 267954
Temps écoulé: 3 heure(s), 1 minute(s), 10 seconde(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 48
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 33
Fichier(s) infecté(s): 56

Processus mémoire infecté(s):
c:\documents and settings\all users\application data\queryexplorer\queryexplorer141.exe (Adware.QueryExplorer) -> 2032 -> Unloaded process successfully.
c:\program files\queryexplorer\queryexplorer.exe (Adware.QueryExplorer) -> 1376 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
c:\program files\queryexplorer\queryexplorer.dll (Adware.QueryExplorer) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\AppID\{0D82ACD6-A652-4496-A298-2BDE705F4227} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{7025E484-D4B0-441a-9F0B-69063BD679CE} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{8258B35C-05B8-4c0e-9525-9BCCC70F8F2D} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{A89256AD-EC17-4a83-BEF5-4B8BC4F39306} (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{5FE0CEAE-CB69-40AF-A323-40F94257DACB} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{258C9770-1713-4021-8D7E-1F184A2BD754} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{258C9770-1713-4021-8D7E-1F184A2BD754} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{DB38E21A-0133-419d-92AD-ECDFD5244D6D} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{EB620C54-E229-4942-87CE-E717109FC8C6} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{89F88394-3828-4d03-A0CF-8203604C3DA6} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{D4233F04-1789-483c-A137-731E8F113DD5} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live-Player (Trojan.WinTrim) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\HotTVPlayer.HTPlayer (Adware.EGDAccess) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.AsyncReporter (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.CntntDic (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.CntntDisp (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.Dwnldr (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.HbAx (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.HbGuru (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.HbInfoBand (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.IEButton (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.IEButtonA (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.KOPFF (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.ReportData (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.Reporter (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.RprtCtrl (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.Scopes (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.Stock (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.TriggerImmidiate (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.TriggerImmidiateOrRandomTS (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShopperReports.TriggerOnceInDay (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShoppingReport2.HbAx (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShoppingReport2.HbInfoBand (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShoppingReport2.IEButton (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShoppingReport2.IEButtonA (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ShoppingReport2.RprtCtrl (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\BRNstIE.DLL (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\CmndFF.DLL (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\mozillaps.dll (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\Pltfrm.DLL (Adware.ClickPotato) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\QueryExplorer (Adware.QueryExplorer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Screensavers.com (Adware.Comet) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ShopperReports3 (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport2 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QueryExplorer (Adware.QueryExplorer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QUERYEXPLORER_SERVICE (Adware.QueryExplorer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QueryExplorer Service (Adware.QueryExplorer) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\ShopperReports 3.0.497.0 (Adware.HotBar) -> Value: ShopperReports 3.0.497.0 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\SRS_IT_E8790570B3765B5430AF90 (Malware.Trace) -> Value: SRS_IT_E8790570B3765B5430AF90 -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E658C067-685E-4840-9EC2-ADC9EA7F2B73}\DhcpNameServer (Trojan.DNSChanger) -> Bad: (85.255.114.92,85.255.112.112) Good: () -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
c:\documents and settings\all users\application data\queryexplorer (Adware.QueryExplorer) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3 (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\Firefox (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\Firefox\cs (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\Firefox\cs\db (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\Firefox\cs\dwld (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\Firefox\cs\report (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\Firefox\cs\res2 (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\IE (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\IE\cs (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\IE\cs\db (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\IE\cs\dwld (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\IE\cs\report (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\IE\cs\res2 (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shoppingreport2 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shoppingreport2\cs (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shoppingreport2\cs\db (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shoppingreport2\cs\dwld (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shoppingreport2\cs\report (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shoppingreport2\cs\res1 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
c:\program files\eoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\program files\eoRezo\EoAdv (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\program files\eoRezo\EoAdv\tmp (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{27e679cc-6aab-4b2a-bb87-096fe4178464} (Adware.QueryExplorer) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{27e679cc-6aab-4b2a-bb87-096fe4178464}\chrome (Adware.QueryExplorer) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{27e679cc-6aab-4b2a-bb87-096fe4178464}\defaults (Adware.QueryExplorer) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{27e679cc-6aab-4b2a-bb87-096fe4178464}\defaults\preferences (Adware.QueryExplorer) -> Quarantined and deleted successfully.
c:\program files\queryexplorer (Adware.QueryExplorer) -> Delete on reboot.
c:\program files\screensavers.com (Adware.Comet) -> Quarantined and deleted successfully.
c:\program files\screensavers.com\installer (Adware.Comet) -> Quarantined and deleted successfully.
c:\program files\screensavers.com\installer\bin (Adware.Comet) -> Quarantined and deleted successfully.
c:\program files\screensavers.com\wallpaper (Adware.Comet) -> Quarantined and deleted successfully.
c:\documents and settings\all users\menu démarrer\programmes\shopperreports (Adware.ShopperReports) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\program files\live-player\uninst.exe (Trojan.WinTrim) -> Quarantined and deleted successfully.
c:\system volume information\_restore{f75eec69-6e97-419b-93b4-6a3a275301c4}\rp907\a0092737.exe (Trojan.WinTrim) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\queryexplorer\queryexplorer117.exe (Adware.QueryExplorer) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-3264293289-3354650613-1120413349-500\Dc47\bin\3.0.497.0\BRNstIE.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-3264293289-3354650613-1120413349-500\Dc47\bin\3.0.497.0\CmndFF.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-3264293289-3354650613-1120413349-500\Dc47\bin\3.0.497.0\cntntcntr.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-3264293289-3354650613-1120413349-500\Dc47\bin\3.0.497.0\mozillaps.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-3264293289-3354650613-1120413349-500\Dc47\bin\3.0.497.0\Pltfrm.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-3264293289-3354650613-1120413349-500\Dc47\bin\3.0.497.0\shopperreports.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-3264293289-3354650613-1120413349-500\Dc47\bin\3.0.497.0\shopperreportsuninstaller.exe (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-3264293289-3354650613-1120413349-500\Dc47\bin\3.0.497.0\firefox\firefoxtoolbar\extensions\components\BRNstFF.dll (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\recycler\s-1-5-21-3264293289-3354650613-1120413349-500\dc48\bin\2.7.12\shoppingreport.dll (Adware.SmartShopper) -> Quarantined and deleted successfully.
c:\recycler\s-1-5-21-3264293289-3354650613-1120413349-500\dc48\bin\2.7.27\shoppingreport.dll (Adware.SmartShopper) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\local settings\application data\ubpembp_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\local settings\application data\ubpembp_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\queryexplorer\queryexplorer141.exe (Adware.QueryExplorer) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\Firefox\cs\Config.xml (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\Firefox\cs\db\Aliases.dbs (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\Firefox\cs\db\Sites.dbs (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\Firefox\cs\dwld\whitelist.xip (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\Firefox\cs\report\aggr_storage.xml (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\Firefox\cs\report\send_storage.xml (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\Firefox\cs\res2\whitelist.dbs (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\IE\cs\Config.xml (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\IE\cs\db\Aliases.dbs (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\IE\cs\db\Sites.dbs (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\IE\cs\dwld\whitelist.xip (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\IE\cs\report\aggr_storage.xml (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\IE\cs\report\send_storage.xml (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shopperreports3\IE\cs\res2\whitelist.dbs (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shoppingreport2\cs\Config.xml (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shoppingreport2\cs\db\Aliases.dbs (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shoppingreport2\cs\db\Sites.dbs (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shoppingreport2\cs\dwld\whitelist.xip (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shoppingreport2\cs\report\aggr_storage.xml (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shoppingreport2\cs\report\send_storage.xml (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
c:\documents and settings\hp_propriétaire\application data\shoppingreport2\cs\res1\whitelist.dbs (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
c:\program files\eoRezo\eorezoimg_9.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\program files\eoRezo\eorezotools_9.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\program files\eoRezo\EoAdv\eoAdv.url (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\program files\eoRezo\EoAdv\eorezobho.old (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\program files\eoRezo\EoAdv\tmp\eorezobho.dll.7637 (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\program files\eoRezo\EoAdv\tmp\eorezobho.dll.9027 (Rogue.Eorezo) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{27e679cc-6aab-4b2a-bb87-096fe4178464}\chrome.manifest (Adware.QueryExplorer) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{27e679cc-6aab-4b2a-bb87-096fe4178464}\install.rdf (Adware.QueryExplorer) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{27e679cc-6aab-4b2a-bb87-096fe4178464}\chrome\queryexplorer.jar (Adware.QueryExplorer) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\extensions\{27e679cc-6aab-4b2a-bb87-096fe4178464}\defaults\preferences\prefs.js (Adware.QueryExplorer) -> Quarantined and deleted successfully.
c:\program files\queryexplorer\queryexplorer.dll (Adware.QueryExplorer) -> Delete on reboot.
c:\program files\queryexplorer\queryexplorer.exe (Adware.QueryExplorer) -> Quarantined and deleted successfully.
c:\program files\queryexplorer\uninstall.exe (Adware.QueryExplorer) -> Quarantined and deleted successfully.
c:\program files\screensavers.com\installer\bin\iebyterange.xml (Adware.Comet) -> Quarantined and deleted successfully.
c:\program files\screensavers.com\installer\bin\iebyterange.xml.backup (Adware.Comet) -> Quarantined and deleted successfully.
c:\program files\screensavers.com\wallpaper\swpstart.exe (Adware.Comet) -> Quarantined and deleted successfully.
c:\documents and settings\all users\menu démarrer\programmes\shopperreports\About Us.lnk (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\all users\menu démarrer\programmes\shopperreports\customer support.lnk (Adware.ShopperReports) -> Quarantined and deleted successfully.
c:\documents and settings\all users\menu démarrer\programmes\shopperreports\shopperreports uninstall instructions.lnk (Adware.ShopperReports) -> Quarantined and deleted successfully.

J'ai ensuite désinstallé tout les programmes installés, et fini par une suppression en dur dans programme files de tout ce qui ne devait plus y etre.
Pour finir, j'ai supprimé les contenus des dossiers appdata et localsetting de chaque session.

Ma question est la suivante : sachant que ZHPDial n'a pas pus fonctionné, et qu'il m'a fallu rendre l'ordi car l'utilisateur en avait besoin rapidement, serait il plus judicieux de le récupéré pour finir une désinfection propre et complète, ou bien l'ordi peut il encore tenir quelques temps ainsi ?

19 réponses

Réponse 1 / 19
Utilisateur anonyme
Modifié par Electricien 69 le 1/07/2011 à 14:56
bonjour,
déjà pour désinfecter, il faut avoir des outils à jour et une connexion à internet !
certains tools ont besoin d'être mis à jour tout comme Zhpdiag et MBAM !

d'un regarde rapide, tu n'avais que des adwaes sur le pc !!

un coup de nettoyage avec ADR (oui, je sais, il n'est plus mis à jour depuis 12/04/2011 !), ça serait pas mal :-)

puis il y a eu des redirections corrigées avec MBAM, mais en tout état de cause, il faut passer un tool de diag ;-)

le pc étant sous XP, un Rsit (pas aussi complet que Zhpdiag) pourrait également faire l'affaire :-)


O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
0
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 699
1 juil. 2011 à 14:56
Ouai, mon gros problème je pense était le "pas de connexion a internet"
Ces ordi fix n'ont pas souvent des carte reseaux sans fils :s
Je n'avais pas grand chose sur moi, du coup je pense que je repasserais dessus plus tard. Je vous tiens au courant :)
0
Réponse 2 / 19
trytodosth Messages postés 225 Date d'inscription jeudi 3 janvier 2008 Statut Membre Dernière intervention 29 septembre 2015 46
1 juil. 2011 à 14:52
Bonjour,

A mon avis, le problème avec un ordi infecté est la communication de données sensibles (mots de passe, fichiers...) ET la transmissions des virus (par clé USB, disque dur externe et même mail !)

Bref le mieux est de le nettoyer complètement (d'ailleurs, avec autant de problèmes, un bon formatage aurais été envisageable, enfin copier des virus dans une sauvegarde... Bref je m'écarte, c'était une bonne décision).

Oui donc un nettoyage complet s'impose si on veut faire autre chose que des dessins sur paint ;)

C'est surtout que tous les fichiers crées avec cet ordinateur peuvent être infectés...
0
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 699
1 juil. 2011 à 14:54
C'est plus ou moins ce que je voulais faire, mais la sauvegarde des données était considérable...et je n'avais pas trop le temps pour un formattage.
0
Réponse 3 / 19
Utilisateur anonyme
Modifié par Electricien 69 le 1/07/2011 à 14:59
en passant un Rsit, il n'y a pas besoin de connexion !

Pour ADR, pareil ;-)


il y a toujours un moyen de désinfecter hors ligne, mais ça demande pas mal de précautions ou manipuler directement sur le pc :-)


au pire des cas, tu dis au propriétaire de se connecter ici et poster sur ce topic avec sa connexion ;-)



O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
0
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 699
1 juil. 2011 à 16:20
Probleme: le propriétaire ne dispose pas d'une connexion internet...
0
Réponse 4 / 19
Utilisateur anonyme
1 juil. 2011 à 16:23
pas de problème, il y ajuste à mettre adr sur une clé ;-)

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 699
3 juil. 2011 à 14:53
Bon, j'ai pu récupérer l'ordi.

J'ai fait une restauration du systeme (avec HP recovery) mais le fichier init de la partition hp discovery était infecté et apres un scan par emsisoft, voici ce qui a été repéré: 

Emsisoft Anti-Malware v. 5.1.0.15
(C) 2003-2011 Emsi Software GmbH - www.emsisoft.com

ID   Object
0    C:\WINDOWS\Web\Wallpaper\welcome\AWhelper.dll  Adware.Win32.WebHancer.x!A2
1    Key: HKEY_LOCAL_MACHINE\software\Live-Player  Trace.Registry.LivePlayer!A2
2    c:\windows\Matrix Code.scr  Trace.File.Matrix Code Screensaver!A2
3    C:\WINDOWS\Web\Wallpaper\welcome\AWhelper.dll  Adware.Win32.WebHancer.x!A2
4    C:\Program Files\Ad-Remover\Quarantine\C\WINDOWS\pack.epk.vir  AdWare.NaviPromo!IK
5    C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP911\A0093351.exe  Trojan.Generic!IK
6    C:\Documents and Settings\HP_Propriétaire\Mes documents\Pour déconner\L'enfer c'est ça.htm  Joke.NoClose!IK
7    C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP931\A0097746.exe  Trojan.Win32.Hrup!IK
8    C:\hp\bin\KillWind.exe  Riskware.Win32.KillApplicat.A!A2
9    C:\hp\bin\KillIt.exe  Riskware.Win32.KillApp!A2
10   C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP930\A0096669.dll  Riskware.Adware.GetPlus!IK


0
Réponse 6 / 19
Utilisateur anonyme
3 juil. 2011 à 14:56
ceci n'est que des traces d'infections dans la restauration système et la qurantaine d'ADR,

relance ADR, clique sur déinstaller.

est ce que avec le pc, tu as une connexion à internet ?

0
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 699
3 juil. 2011 à 15:05
Pour la connexion internet, je n'ai malheureusement pas de câble a disposition. Je peut télécharger de mon portable et transférer par disque dur...
0
Réponse 7 / 19
Utilisateur anonyme
3 juil. 2011 à 15:10
ok,
désinstalle ADR via son interface.

via ta clé usb :


* Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau.
http://images.malwareremoval.com/random/RSIT.exe

Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
Double clique sur RSIT.exe pour lancer l'outil.
Clique sur ' continue ' à l'écran Disclaimer.
Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
Une fois le scan fini, 2 rapports vont apparaître. enregistres les sur ton bureau(log.txt & info.txt)

héberge les sur le site cijoint, Copie et colle les liens fournis par le site Cijoint sur ton prochain message :
http://www.cijoint.fr/index.php

0
Réponse 8 / 19
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 699
3 juil. 2011 à 15:11
Du coup j'ai désinstaller ADR
0
Réponse 9 / 19
Utilisateur anonyme
3 juil. 2011 à 15:12
si tu l'as passé en mode nettoyage, il a fait son job, il n'est plus nécessaire :D

0
Réponse 10 / 19
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 699
3 juil. 2011 à 15:18
Voici les deux fichiers:

log.txt

info.txt
0
Réponse 11 / 19
Utilisateur anonyme
3 juil. 2011 à 15:25
tu peux me mettre un hijackthis aussi s'il te plait ?

vire ce fichier manuellement :

C:\WINDOWS\_delis32.ini

désinstalle ce programme :

jre1.5.0

instale lui la dernière version depuis cette adresse :
https://www.java.com/fr/download/

il faut faire une mise à jour de Xp vers Sp3 !

ceci demande d'avoir une connexion, tu le feras plus tard :-)



hijackthis ne s'est pas chargé (pas de connexion !)

passe le séparement :

* - Hijackthis - Outil de diagnostic et réparation
télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://www.tutoriaux-excalibur.com/hijackthis.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

0
Réponse 12 / 19
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 699
3 juil. 2011 à 15:39
Voici pour hijackthis. Pour le JRE il me faut internet pour l'installer, je le ferais plus tard :)

log
0
Réponse 13 / 19
Utilisateur anonyme
3 juil. 2011 à 16:41
rien sur le rapport !

as tu viré le fichier en manuel ?

on va essaye de faire une mise à jour manuelele de MBAM et lancer un scan :-)

désinstalle la version de MBAM qui y a sur le pc !

https://forum.malekal.com/viewtopic.php?t=21312&start=
0
Réponse 14 / 19
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 699
3 juil. 2011 à 16:47
Le fichier a été viré en manuel.
Je lance le scan avec mbam apres avoir fait la maj manuellement.
0
Réponse 15 / 19
Utilisateur anonyme
3 juil. 2011 à 16:53
on verra le résultat :-)

0
Réponse 16 / 19
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 699
3 juil. 2011 à 18:01
Ok, rien de détecté par mbam, on a du avoir raison de ces petites bêtes :p
0
Réponse 17 / 19
Utilisateur anonyme
3 juil. 2011 à 18:05
normalement, tout devait être bon :-)

comment va le pc ?

à ton avis, il fonctionne normalement ?


0
Réponse 18 / 19
varfendell Messages postés 3256 Date d'inscription jeudi 27 décembre 2007 Statut Membre Dernière intervention 8 février 2020 699
3 juil. 2011 à 18:07
Oui, je n'ai plus les caractères chinois dans la zone démarrage du msconfig, et plus d'alertes init bloqué ou autre.

Il ne me reste plus qu'a ré-installer les logicielles de bases et tout sera bon, merci :)
0
Réponse 19 / 19
Utilisateur anonyme
Modifié par Electricien 69 le 3/07/2011 à 18:12
un coup de Ccleaner, vire les anciens points de restauration système, déinstale les outils de désinfection avec Delfix si tu le veux, entre Emisoft antimalaware et MBAM, il faut en conserver un seul sur le pc, risque de confli !


pour en finir, après une mise à jour de son antivirus et un scan complet, il faut créer un nouveau point de restauration systè-metout propre :-)

sur ce, bon @ ++


;D


O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
0

Discussions similaires

Code de confirmation facebook
zemmfan -
Utilisateur anonyme -

3 réponses
Colis en attente de confirmation
Mimi -
ITOKYOPEYA -

1 réponse
J'ai reçu un code de confirmation Facebook sans raison
laulau -
Chantale -

8 réponses
Confirmation coupon transcash
Nazim1619 -
bendrop -

2 réponses
Quelqu'un aurait un exemple de mail de confirmation transcash ?
Jobijob -
Afrikarnak -

1 réponse