Forums Zebulon.fr: [Résolu] Trojan variant of Win32/Agent.DYXWUMY - Forums Zebulon.fr

OK tomtom95 , voici le rapport demandé .


RogueKiller V5.3.4 [30/08/2011] par Tigzy
contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)
mail: tigzyRK<at>gmail<dot>com
Remontees: [RogueKiller] Remontées (1/34)

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: ollivier [Droits d'admin]
Mode: Recherche -- Date : 19/09/2011 17:14:38

Processus malicieux: 0

Entrees de registre: 2
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

Fichiers / Dossiers particuliers:

Fichier HOSTS:
127.0.0.1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt

A+

RE

Relance RogueKiller.exe.
tape 2 suppression et valide

• Un rapport (RKreport.txt) a du se créer à côté de l'exécutable
  colle son contenu dans la réponse

Comment ce comporte le pc ?


Télécharge la dernier version MalwareByte's sur ton Bureau.

• Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
  Une fois l'installation et la mise à jour effectuées :
  
• Branche tes supports externes sur le pc (Clé USB,Disque Dur,etc..)
  Sans les ouvrirs
  
• Exécute maintenant MalwareByte's Anti-Malware.Clique droit sur l'icône et "Exécuter en tant qu'administrateur"
  sélectionne "Exécuter un examen complet".
  
• Coche toutes les cases des lecteurs
  
• Afin de lancer la recherche clique sur"Rechercher".
  
• Coche toutes les cases de tes lecteurs
  
• Une fois le scan terminé une fenêtre s'ouvre clique sur OK.
  
• Si des infections sont présentes
  clique sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
  
• poste le rapport dans ta prochaine réponse.

REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression accepte en cliquant sur Ok.


Refait stp un rapport ZHPDiag.txt

• Lance l'outil : double-clique sur ZHPDiag pour XP
  Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur.
  
  Clique sur le Tournevis a droit en haut
  
  
  Coche toutes les cases .
  
• Puis Clique sur la petite loupe en haut à gauche pour débuter l'analyse :
  
• L'analyse peut durer une dizaine de minutes.
  
• Le rapport généré par l'outil se nomme ZHPDiag.txt
  
• Clique sur le bouton avec l'appareil photo pour copier le contenu intégral du rapport généré par l'outil dans le presse-papier :
  
• Dans ta prochaine réponse
  clique sur les touches CTRL+V pour coller ce rapport.
  
• Si tu rencontres un message d'erreur
  cela signifie que le rapport est trop long. Il faut donc l'éditer en plusieurs parties en veillant bien à ne rien oublier
  
  
• héberger le fichier contenant ce rapport ici
  http://cjoint.com/
  
• Indique ensuite dans ta prochaine réponse l'adresse d'hébergement de ce rapport pour que je puisse le télécharger et l'analyser.

A+

Ce message a été modifié par tomtom95 - 19 septembre 2011 - 04:56 .

Re ,
voici le premier rapport :

RogueKiller V5.3.4 [30/08/2011] par Tigzy
contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)
mail: tigzyRK<at>gmail<dot>com
Remontees: [RogueKiller] Remontées (1/34)

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: ollivier [Droits d'admin]
Mode: Suppression -- Date : 19/09/2011 18:09:50

Processus malicieux: 0

Entrees de registre: 2
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

Fichiers / Dossiers particuliers:

Fichier HOSTS:
127.0.0.1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt


Sinon le PC , se comporte correctement .
Bon , je continue
A+

Bonsoir ,
le rapport mbam :

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 7749

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

19/09/2011 21:09:27
mbam-log-2011-09-19 (21-09-26).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|N:\|O:\|P:\|Q:\|)
Elément(s) analysé(s): 636033
Temps écoulé: 2 heure(s), 44 minute(s), 23 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Et le lien pour ZHPDiag.txt : http://www.cijoint.f.../cij1JCHQ19.txt

A+

Ce message a été modifié par patisijm - 19 septembre 2011 - 08:34 .

Bonsoir patisijm

OK

Un petit nettoyage ,et ensuite on supprime les outils

TéléchargeTemp File Cleaner (TFC) de Old Timer :

•Enregistre-le sur le Bureau
•Enregistre (sauvegarde) tous tes travaux en cours et ferme les applications - quitte-les définitivement (l'outil les fermera de toute façon automatiquement)
•Double-clique sur TFC.exe (sous Vista - Windows 7 clique droit "exécuter en tant qu'administrateur)
•Clique sur Start
•Laisse l'outil travailler (cela prend de quelques secondes à quelques minutes)
•Si l'outil demande à redémarrer :

• Clique sur Yes
  •Si l'outil ne propose pas le redémarrage
  redémarrer manuellement.
  Dans la barre de TFC il va y avoir un chiffre noté en rouge
  indique le moi.

Télecharge sur le site DelFix (de Xplode) sur ton Bureau

• Choisis l'option "Recherche"
  
• Valide sur Entrée
  
• Laisse travailler l'outil
  
• Copie/colle le rapport obtenu
  
  Relance Delfix
  
  
• Choisis l'option "Suppression"
  
• Valide sur Entrée
  
• Laisse travailler l'outil
  
• Copie/colle le rapport obtenu

Supprime DelFix ainsi que les autres outils restant éventuellement sur le bureau.

Tu va supprimer tes anciennes sauvegarde du pc :
Après une désinfection
il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés.

• Cliquez sur le bouton démarrer faîtes un clique droit sur "Ordinateur" puis cliquez sur "Propriétés" :
  
• Cliquez ensuite sur "Protection du système
  
  
• Décochez la case du ou des disque(s) pour lesquels vous souhaitez désactiver la restauration du système :
  
• Une confirmation est nécessaire et vous informe que les points de restaurations existants vont être supprimés sans possibilité de retour en arrière :
  
• Pour réactiver la restauration système
  il suffit de cocher à nouveau les cases mais cela ne récupérera pas les anciens points de restauration du système.

Réactive l'UAC

• Menu Démarrer
  
• Panneau de Configuration
  
• Comptes d'utilisateurs et protection des utilisateurs
  
• Comptes d'utilisateurs
  
• Activer le contrôle des comptes d'utilisateurs
  
• coche la case Utiliser le contrôle ... et valide par OK
  il te sera demandé de redémarrer ( fais le)

Mettre a jour:
Flash player V 10.3.183.7 (décoche la case de la Toolbar)
http://get.adobe.com/fr/flashplayer/

Sun java Runtime pour windows Version 6 Update 27
http://www.java.com/...load/manual.jsp

OpenOffice.org 3.3
http://fr.openoffice.org/

Pour améliorer la sécurité de ton PC prend quelques instants pour lire

Les toolbars c'est pas obligatoire! Merci Malekal_morte

Lisez d'abord cliquez après !!! Merci TopXm
Astuces et tutoriaux sur Vista et Windows 7
http://www.chantal11.com/ Merci chantal 11

POST le rapport DELFIX stp

Si tu as pas de questions,Marque ton sujet >> comme résolu

A+

Bonjour tomtom95 ,

le chiffre rouge pour TFC : total files cleaned = 0.00 mb

les rapports Delfix :

# DelFix v8.4 - Rapport créé le 20/09/2011 à 11:17
# Mis à jour le 16/09/11 à 21h par Xplode
# Système d'exploitation : Windows Vista ™ Home Premium (32 bits) [version 6.0.6002] Service Pack 2
# Nom d'utilisateur : ollivier - PC-DE-OLLIVIER (Administrateur)
# Exécuté depuis : C:\Users\ollivier\Desktop\delfix.exe
# Option [Recherche]


~~~~~~ Dossier(s) ~~~~~~

Présent : C:\_OTM
Présent : C:\Lop SD
Présent : C:\Qoobox
Présent : C:\ZHP
Présent : C:\Program Files\ZHPDiag
Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Présent : C:\ComboFix.txt
Présent : C:\lopR.txt
Présent : C:\PhysicalDisk0_MBR.bin
Présent : C:\TDSSKiller.2.5.22.0_19.09.2011_15.16.25_log.txt
Présent : C:\TDSSKiller.2.5.22.0_19.09.2011_15.52.28_log.txt
Présent : C:\TDSSKiller.2.5.22.0_19.09.2011_15.57.21_log.txt
Présent : C:\TDSSKiller.2.5.22.0_19.09.2011_18.23.11_log.txt
Présent : C:\Windows\grep.exe
Présent : C:\Windows\MBR.exe
Présent : C:\Windows\NIRCMD.exe
Présent : C:\Windows\PEV.exe
Présent : C:\Windows\sed.exe
Présent : C:\Windows\SWREG.exe
Présent : C:\Windows\SWSC.exe
Présent : C:\Windows\SWXCACLS.exe
Présent : C:\Windows\zip.exe
Présent : C:\Users\ollivier\Desktop\RogueKiller.exe
Présent : C:\Users\ollivier\Desktop\tdsskiller.exe
Présent : C:\Users\ollivier\Desktop\TFC.exe
Présent : C:\Users\ollivier\Desktop\ZHPDiag2.exe
Présent : C:\Users\Public\Desktop\ZHPDiag.lnk
Présent : C:\Users\Public\Desktop\ZHPFix.lnk
Présent : C:\Users\Public\Desktop\ZHPDiag.lnk
Présent : C:\Users\Public\Desktop\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Présente : HKLM\Software\OldTimer Tools
Clé Présente : HKLM\Software\Classes\.cfxxe
Clé Présente : HKLM\Software\Classes\cfxxefile
Clé Présente : HKLM\Software\TrendMicro\Hijackthis
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
Clé Présente : HKLM\SOFTWARE\Swearware

~~~~~~ Autre ~~~~~~


########## EOF - "C:\DelFixSearch.txt" - [2244 octets] ##########

et pour le second :

# DelFix v8.4 - Rapport créé le 20/09/2011 à 11:20
# Mis à jour le 16/09/11 à 21h par Xplode
# Système d'exploitation : Windows Vista ™ Home Premium (32 bits) [version 6.0.6002] Service Pack 2
# Nom d'utilisateur : ollivier - PC-DE-OLLIVIER (Administrateur)
# Exécuté depuis : C:\Users\ollivier\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\_OTM
Supprimé : C:\Lop SD
Supprimé : C:\Qoobox
Supprimé : C:\ZHP
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\lopR.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\TDSSKiller.2.5.22.0_19.09.2011_15.16.25_log.txt
Supprimé : C:\TDSSKiller.2.5.22.0_19.09.2011_15.52.28_log.txt
Supprimé : C:\TDSSKiller.2.5.22.0_19.09.2011_15.57.21_log.txt
Supprimé : C:\TDSSKiller.2.5.22.0_19.09.2011_18.23.11_log.txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\sed.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\zip.exe
Supprimé : C:\Users\ollivier\Desktop\RogueKiller.exe
Supprimé : C:\Users\ollivier\Desktop\tdsskiller.exe
Supprimé : C:\Users\ollivier\Desktop\TFC.exe
Supprimé : C:\Users\ollivier\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
ACL -> [F] & Clé Supprimée : HKLM\SOFTWARE\Swearware

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [2220 octets] ##########

sinon quelques questions avant de clore le sujet : Est ce que le PC était très pollué ?
Dois je installer quelque chose en plus de mon antivirus ?

A+ , et encore merci de l'aide .

Bonsoir patisijm

Très infecté non j'ai vu pire.

Quelques Adwares:
Adware.SPointer
Adware.Bandoo
Adware.OpenCandy
Ce sont des programmes qui génèrent des fenêtres pop-up sur un ordinateur
ou affichant des publicités. Il est important de noter que tous les programmes d'adware sont nécessairement considérés comme des logiciels malveillants.
Créer aussi des fenêtre de Pub >> Offerbox FissaSearch
Quelques Toobars (Barre de recherche]
Evite ces logiciels moovida air Babylon Searchetc...

Par contre évite aussi utiliser des outils de désinfection seul comme combofix
Tu risque de faire plus de dégâts sur ton ordinateur, que de le réparer.
A moins que ce soit des restes anciens désinfection de ton pc.

Citation

Trop de protection ne sont pas nécessaire.
La meilleur protection pour ton ordinateur c'est celui qui est derrière le clavier.(Donc toi)
Eviter le surf, et les téléchargements a risque.
Ton antivirus, Malwarebytes mis a jour, avec un scanne régulier.
Ton système mis à jour sur Windows Update pour les faille de sécurité.
Et normalement tout iras bien.

Bonne soirée
A+ sur les forums ZEB

Bonne soirée et merci à toi .