Infectée par win 7 home security 2012Résolu/Fermé

Question

Bonjour, 


J'ai été infecté par le virus Win 7 Home Security 2012 il y a quelques minutes. Impossible d'aller sur Firefox, j'utilise le pc d'un coloc. Pouvez vous m'aidez à résoudre le problème? 

Merci d'avance...

Utilisateur anonyme · Answer

Bonjour

As tu accès au mode sans echec avec prise en charge réseau à partir du PC à problèmes?

@+

Metzgermeisterin · Answer

À priori oui, qu'elle est la manipulation à faire?

Utilisateur anonyme · Answer

Re

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

 
http://pjjoint.malekal.com/

https://www.cjoint.com/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

Metzgermeisterin · Answer

Voila le lien: http://cjoint.com/11dc/ALbswAVTNng.htm

Merci de ton aide. :)

Utilisateur anonyme · Answer

Re

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes


@+

Metzgermeisterin · Answer

Hello!

J'a utilisé Combofix comme demandé, mais par contre je ne trouve pas de répertoire dédié au programme et encore moins le fichier combofix.txt. Un blo note s'est bien ouvert à la fin, après redémarrage automatique, mais il était vide...

Utilisateur anonyme · Answer

Re

As tu noté des améliorations?

Poste moi un nouveau rapport ZHPDiag;merci.

@+

Metzgermeisterin · Answer

Pluis de virus, mais j'ai un autre souci... tout mes programmes ou fichiers, à l'ouverture, m'affichent un texte du genre "tentative d'opération non autorisée sur une clé du Registre marquée pour suppression"

Je ne peux plus rien faire! :(

Utilisateur anonyme · Answer

Re


Ton PC a redémarré?

Si ce n'est pas le cas fait le.0
Poste moi un rapport ZHPDiag comme demandé;merci.

@+

Metzgermeisterin · Answer

Pc redémarré, tout semble aller pour le mieux! :)

voila le rapport: http://cjoint.com/11dc/ALbweuyxv8D.htm

Merci beaucoup!! :)

Utilisateur anonyme · Answer

Bonjour

Tu disposes de Malwaresbytes;met le à jour et lance une analyse rapide.
Poste moi son rapport après suppression.

@+

Metzgermeisterin · Answer

Hello!

Impossible de faire la mise à jour de Malwaresbytes (message du genre "connectez vous à Internet ou autorisez ce programme"; souci avec le pare-feu mais je n'arrive pas à trouver la solution....), mais voila le rapport de l'analyse rapide:

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1306
Windows 6.1.7601 Service Pack 1

02/12/2011 20:45:03
mbam-log-2011-12-02 (20-45-03).txt

Type de recherche: Examen rapide
Eléments examinés: 42666
Temps écoulé: 9 minute(s), 45 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Utilisateur anonyme · Answer

RE

Désinstalle cette version.

Désactive ton pare feu.

Télécharge la dernière version de MBAM et procède à sa mise à jour.
http://www.malwarebytes.org/mbam.php


@+

Metzgermeisterin · Answer

Alors j'ai tout fait, et voila le rapport: 

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8292

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

02/12/2011 21:36:36
mbam-log-2011-12-02 (21-36-36).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 177698
Temps écoulé: 7 minute(s), 45 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Utilisateur anonyme · Answer

Bonjour

Utilisation de l'outil ZHPFix : 

* Copie  tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 
-------------------------------------------------------------------------------------------------


O23 - Service: KMService (KMService) . (...) - C:\Windows\SysWOW64\srvany.exe   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKLM\Software\Wow6432Node\Canneverbe Limited\OpenCandy]
[HKLM\Software\Wow6432Node\Martin Prikryl\OpenCandy]
STOP:SR - | Auto 16/10/2011 462184 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe     
OPT:O4 - HKLM\..\Wow6432Node\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe     
OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe     
OPT:O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 9.0\Reader\reader_sl.exe 
OPT:O4 - HKCU\..\Run: [BitTorrent DNA] . (.BitTorrent, Inc. - DNA.) -- C:\Users\Cthulhu\Program Files (x86)\DNA\btdna.exe    
FirewallRAZ
Emptytemp

--------------------------------------------------------------------------------------------
Puis lance  ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe  
 « Exécuter en tant qu'administrateur »
. 

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

*Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

*Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes  
- Clique sur le bouton « GO » pour lancer le nettoyage, 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt ) 



A+

Metzgermeisterin · Answer

Et voila! :)$

Rapport de ZHPFix 1.12.3372 par Nicolas Coolman, Update du 22/11/2011
Fichier d'export Registre : 
Run by Cthulhu at 03/12/2011 08:58:33
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ABSENT Key: Service: KMService
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
ABSENT Key: HKLM\Software\Wow6432Node\Canneverbe Limited\OpenCandy
ABSENT Key: HKLM\Software\Wow6432Node\Martin Prikryl\OpenCandy

========== Valeur(s) du Registre ==========
ABSENT RunValue: iTunesHelper
ABSENT RunValue: QuickTime Task
ABSENT RunValue: Adobe Reader Speed Launcher
SUPPRIME RunValue: BitTorrent DNA
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 81

========== Fichier(s) ==========
SUPPRIME Reboot c:\windows\syswow64\srvany.exe
SUPPRIME Temporaires Windows: : 88

========== Etat des services ==========
(Bonjour Service) . (Bonjour Service) de Apple Inc.Arrêté:


========== Récapitulatif ==========
5 : Clé(s) du Registre
7 : Valeur(s) du Registre
1 : Dossier(s)
2 : Fichier(s)
1 : Etat des services


End of clean in 00mn 18s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 03/12/2011 08:58:33 [1594]

Utilisateur anonyme · Answer

Re

1)Pour java utilises JavaRa

et un autre tutoriel javaRa http://www.libellules.ch/dotclear/index.php?post/2008/07/13/2689-javara

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
* Double-cliques ou clic droit sous Vista  sur le répertoire JavaRa. 
* Puis double-cliques sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
* Choisis Français puis cliques sur Select. 
* Cliques sur  Effacer les anciennes versions 
* Cliques sur Oui pour confirmer. Laisses travailler et cliques ensuite sur OK, puis une deuxième fois sur OK. 
* Un rapport va s'ouvrir. Postes-le dans ta prochaine réponse. 
* Ferme l'application. 

*Va sur ce site ensuite pour récupérer cette dernière version : https://www.java.com/fr/

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.


2)Tu disposes de Ccleaner;met le à jour et lance le avec ces réglages.
.double-cliques ou clic droit sous Seven sur l'icône  de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option  et puis avancé  
.tu décoches  effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
. coches  la première case vieilles données du perfetch  ce qui te donnes la case vielles données du perfetch  
.cliques sur analyse  une fois l'analyse terminé 
.cliques sur lancer le nettoyage  et sur la demande de confirmation OK  il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.clique maintenant sur registre  et puis sur rechercher les erreurs 
.laisse tout coché et clique sur réparer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.clique sur corriger toutes les erreurs sélectionnées  et sur la demande de confirmation OK   
.il supprime et une fois fermé   tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option  et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner.

Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm


@+

Metzgermeisterin · Answer

Hello!

J'ai tout fait sauf qu'il n'y a pas eu de fichier texte après la procédure pour Java... et il est introuvable!

Utilisateur anonyme · Answer

Bonjour

1) Télécharge DelFix de Xplode
Ou si problème sur ce site : http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

Ou encore : https://www.commentcamarche.net/download/s/delfix

* Lance le.
* A l'invite,  [Suppression]  
* Un rapport va s'ouvrir à la fin, colle le dans la réponse

Ensuite pour le désinstaller ; tu relances et tu passes à l'option  [Désinstallation] 


2)Purge la restauration sur Seven
Comment faire :

http://www.forum-seven.com/forum/

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections


@+

Metzgermeisterin · Answer

Hello!

Voila le rapport:

# DelFix v8.6 - Rapport créé le 05/12/2011 à 22:02:32
# Mis à jour le 13/10/11 à 18h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Cthulhu - CTHULHU-PC (Administrateur)
# Exécuté depuis : C:\Users\Cthulhu\Downloads\DelFix-8.6.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\Cthulhu\Downloads\asdehi.exe <-- Combofix
Supprimé : C:\ComboFix.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Cthulhu\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Cthulhu\Downloads\Boots_Electric_Boots_Electric_Theme_music_video.mp3
Supprimé : C:\Users\Cthulhu\Downloads\JavaRa.zip
Supprimé : C:\Users\Cthulhu\Downloads\MBRCheck.lnk
Supprimé : C:\Users\Cthulhu\Downloads\Queens_of_the_Stone_Age_[All_Albums][DVD_NTSC_5.1]_QOTSA_---Kron.5027474.TPB.torrent
Supprimé : C:\Users\Cthulhu\Downloads\rapport.txt
Supprimé : C:\Users\Cthulhu\Downloads\ZHPDiag.lnk
Supprimé : C:\Users\Cthulhu\Downloads\ZHPDiag.txt
Supprimé : C:\Users\Cthulhu\Downloads\ZHPDiag2
Supprimé : C:\Users\Cthulhu\Downloads\ZHPDiag2.exe
Supprimé : C:\Users\Cthulhu\Downloads\ZHPDiag2.txt
Supprimé : C:\Users\Cthulhu\Downloads\ZHPFix.lnk
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1999 octets] - [05/12/2011 22:02:32]

########## EOF - C:\DelFix[S1].txt - [2123 octets] ##########

Utilisateur anonyme · Answer

Bonsoir

As tu fais le reste?

Si tu n'as plus de problèmes;je te propose de clore ce post.

@+

babelweb · Answer

Bonsoir j'ai le même probleme. Je me permets de t'écrire le rapport de nettoyage de Rogue Killer que j'a lancé avec l'option nettoyage sur mon ordi RogueKiller V6.1.12 [02/12/2011] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur: hervé [Droits d'admin] Mode: Suppression -- Date : 06/12/2011 17:45:50 ¤¤¤ Processus malicieux: 2 ¤¤¤ [WINDOW : Win 7 Home Security 2012] vnu.exe -- C:\Users\hervé\AppData\Local\vnu.exe -> KILLED [TermProc] [SUSP PATH] vnu.exe -- C:\Users\hervé\AppData\Local\vnu.exe -> KILLED [TermThr] ¤¤¤ Entrees de registre: 5 ¤¤¤ [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\hervé\AppData\Local\vnu.exe" -a "%1" %*) -> REPLACED ("%1" %*) [FILE ASSO] HKCR\.exe : (ah) -> REPLACED (exefile) [FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\hervé\AppData\Local\vnu.exe" -a "C:\Program Files (x86)\Internet Explorer\iexplore.exe") -> REPLACED ("C:\Program Files (x86)\internet explorer\iexplore.exe") ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NOT LOADED] ¤¤¤ ¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com 127.0.0.1 100sexlinks.com [...] Termine : << RKreport[1].txt >> RKreport[1].txt

Metzgermeisterin · Answer

Oui, tout le reste a été fait.

Merci beaucoup de ton aide! :)

Infectée par win 7 home security 2012

23 réponses

Discussions similaires

Newsletters