[RESOLU] Infection par MSN

[bernard53]

Le scan de malwarebyte's antimalware s'est interrompu en cours de route et a fait redémarrer mon PC qui m'a proposé un redémarrage en mode sans échec. Je ne l'ai pas fait mais bon, ça veut dire que y a un pb!

Déjà, avant d'intervenir sur le forum j'avais utilisé ce logiciel et ça avait donné le même résultat...il ne va pas au bout de son scan, il bug avant la fin.

 

Merci de ton aide

 

Bon si MalwaresBytes te cause un soucis laisse le.

 

Remets moi un nouveau rapport OTL pour contrôle et dis moi comment va ton pc s.t.p

 

il est bien à jour Malwaresbytes?

Modifié le 3 février 2011 par bernard53

[Marco59]

J'essaie de désinstaller le malwarebyte's que j'ai pour le retélécharger car il ne veut pas se mettre jour, il y a peut-être un souci. Mais quand je le désinstalle il me dit :

Runtime error (at -1;0)

Cannot import dll:C:\Program files\Malwarebytes' Anti-malware\mbam.dll.

 

Pour le rapport OTL, je fais le même que me 2ème que tu m'as fait faire?

[Marco59]

Sinon, mon PC fonctionne correctement, je ne suis plus embêté par les alertes de virus.

Seulement je ne peux pas ouvrir IE et j'ai donc une petite fenêtre qui s'ouvre "Processus hôte pour les services Windows a cessé de fonctionner et a été arrêté. Un pb est à l'origine du dysfonctionnement de cette application. Windows vous préviendra si une solution est disponible".

 

Lorsque j'utilise Word par exemple, le haut de mon écran s'affiche parfois lentement quand je passe d'un écran sur l'autre. Ce n'est pas très gênant mais ce n'est pas très normal.

[Marco59]

Pour info, dans mes programmes je découvre "antimalware doctor". En allant sur le forum il semble que ce logiciel ne soit pas mon ami...

Sinon j'ai oublié de te dire que lorsque je navigue sur internet j'ai l'impression que je n'ai rien qui filtre les pubs. J'ai régulièrement des pages internet qui s'ouvrent : porno, pub, etc.

 

Voilà, j'espère que je ne suis pas trop un boulet!

 

Merci

[Marco59]

J'ai fait une nouvelle analyse à partir de la première citation que tu m'as donné :

Cijoint.fr - Service gratuit de dépôt de fichiers

 

J'espère que c'est ça que tu voulais

[bernard53]

oui je savais qu'il restai une trace "Antimalware Doctor" dans le registre mais on ne le vois pas ailleurs, de toute façon supprimes ce dossiers et fait ce nouveau rapport .

 

 

Télécharges << ZHPDiag>> (de Nicolas Coolman)

 

dezzipes le fichier sur ton bureau...

Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".

A la fin de l'installation ZHPDiag va se lancer....

 

l'installation va créer deux raccourcis (ZHPDiag et ZHPFix) sur ton bureau

 

 

Cliques sur l'icône "Options" (image du tournevis) et coches toutes les options

 

**Pour vista et Seven, lancer clique droit puis Exécuter en tant d'Administrateur **

 

cliques sur "Lancer le diagnostique" (image de la loupe) et patiente...

 

A la fin du scan cliques sur l'icône "sauvegarder le fichier sous" (image de la disquette bleu) et enregistre le rapport sur ton bureau.

 

Mets le rapport ici car il prend bien de la place.

Cijoint.fr - Service gratuit de dépôt de fichiers

 

 

Ceci aussi pour mettre a jour ta version de Java.

 

 

 

** Télécharge JavaRA

 

**Aide en images

Pour Vista : Clic-droit sur setup et choisis "Exécuter en tant qu'administrateur".

 

Mais garde cela pour la fin.

Modifié le 3 février 2011 par bernard53

[Marco59]

Voici le rapport demandé :

Cijoint.fr - Service gratuit de dépôt de fichiers

 

Pendant ce temps, je mets à jour java

[bernard53]

ok he bien il y avait encore pas mal de monde sur le pc.

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified

[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified

[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified

O4 - HKLM\..\Run: [eRecoveryService] Clé orpheline

O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\WI9130~1\Datamngr\DATAMN~1.exe (.not file.)

O4 - HKCU\..\Run: [KB3114809.exe] C:\Users\Lucie\AppData\Roaming\Adobe\plugs\KB3114809.exe (.not file.)

O4 - HKUS\S-1-5-21-223317506-3178609302-4170478559-1000\..\Run: [KB3114809.exe] C:\Users\Lucie\AppData\Roaming\Adobe\plugs\KB3114809.exe (.not file.)

O4 - Global Startup: C:\Documents And Settings\Lucie\Desktop\Aller sur MSN.fr.lnk - Clé orpheline

O4 - Global Startup: C:\Users\Lucie\Desktop\Aller sur MSN.fr.lnk - Clé orpheline

O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor

O42 - Logiciel: ClickPotato - (.Pinball Corporation..) [HKLM] -- ClickPotatoLiteSA

O42 - Logiciel: Fun4IM - (.Bandoo Media Inc.) [HKLM] – Bandoo

O42 - Logiciel: ShopperReports - (.SmartShopper.) [HKLM] – ShopperReportsSA

O42 - Logiciel: Windows Searchqu Toolbar - (.Bandoo Media Inc.) [HKLM] -- Searchqu MediaBar

[HKCU\Software\Antimalware Doctor Inc]

[HKCU\Software\AppDataLow\Software\ShopperReports3]

[HKCU\Software\DataMngr]

[HKCU\Software\ShopperReports3]

[HKCU\Software\Spointer]

[HKCU\Software\clickpotatolitesa]

[HKLM\Software\ClickPotatoLite]

[HKLM\Software\DataMngr]

[HKLM\Software\DataMngr]

[HKLM\Software\SearchquMediabarTb]

[HKLM\Software\ShopperReports3]

O43 - CFD: 03/11/2010 - 20:43:20 ----D- C:\Program Files\ClickPotatoLite

O43 - CFD: 06/11/2010 - 22:16:44 ----D- C:\ProgramData\ClickPotatoLiteSA

O43 - CFD: 03/11/2010 - 20:43:20 ----D- C:\Users\Lucie\AppData\Roaming\ClickPotatoLite

O43 - CFD: 03/11/2010 - 20:43:08 ----D- C:\Users\Lucie\AppData\Roaming\ShopperReports3

O53 - SMSR:HKLM\...\startupreg\55195833 [Key] . (.Pas de propriétaire - Pas de description.) -- C:\ProgramData\55195833\55195833.exe

O61 - LFC:Last File Created 01/02/2011 - 12:15:01 ---A- C:\Users\Lucie\AppData\Local\Temp\276059.od [134]

O61 - LFC:Last File Created 01/02/2011 - 12:15:01 ---A- C:\Users\Lucie\AppData\Local\Temp\CVR365B.tmp.cvr [0]

O61 - LFC:Last File Created 01/02/2011 - 12:15:47 ---A- C:\Users\All Users\lxdd [43253]

O61 - LFC:Last File Created 01/02/2011 - 12:29:21 ---A- C:\Users\Lucie\AppData\Local\Temp\~DF146F.tmp [512]

O61 - LFC:Last File Created 01/02/2011 - 12:29:21 ---A- C:\Users\Lucie\AppData\Local\Temp\~DF1482.tmp [512]

O61 - LFC:Last File Created 01/02/2011 - 12:56:46 ---A- C:\Users\Lucie\AppData\Local\Temp\~DFF3E3.tmp [49152]

O61 - LFC:Last File Created 01/02/2011 - 13:00:57 ---A- C:\Users\Lucie\AppData\Local\Temp\~DFA567.tmp [311296]

O61 - LFC:Last File Created 01/02/2011 - 13:23:58 ---A- C:\Users\Lucie\AppData\Local\Temp\jet5100.tmp\rt.jar [10774370]

O61 - LFC:Last File Created 01/02/2011 - 13:24:38 ---A- C:\Users\Lucie\AppData\Local\Temp\~DFA761.tmp [311296]

O61 - LFC:Last File Created 01/02/2011 - 13:45:29 ---A- C:\Users\Lucie\AppData\Local\Temp\jet4964.tmp\rt.jar [10774370]

O61 - LFC:Last File Created 01/02/2011 - 15:49:35 ---A- C:\Users\Lucie\AppData\Local\Temp\jet4684.tmp\rt.jar [10774370]

O64 - Services: CurCS - (.not file.) - 6534ea00 (6534ea00) .(.Pas de propriétaire - Pas de description.) - LEGACY_6534EA00

O69 - SBI: SearchScopes [HKUS\.DEFAULT] {8A96AF9E-4074-43b7-BEA3-87217BDA7402} [DefaultScope] - (Web Search) - Search

O69 - SBI: SearchScopes [HKUS\S-1-5-18] {8A96AF9E-4074-43b7-BEA3-87217BDA7402} [DefaultScope] - (Web Search) - Search

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe

O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe

 

FirewallRaz

Emptytemp

EmptyFlash

Mbrfix

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [H] ("coller les lignes Helper").

 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment qui apparaitront.

 

Vérifie :

- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

- que les lignes soient disposées les unes en dessous des autres.

 

* Puis clique sur le bouton [OK].

> À ce moment là, il apparaitra au début de chaque ligne une petite case vide. Ne touche plus à rien !

 

!! Déconnecte toi d'internet, désactive tes défenses (anti-virus, anti-spyware) et ferme bien toutes autres applications (navigateurs compris) !!

 

 

* Clique sur le bouton [Tous]. Vérifies que toutes les lignes soient bien cochées.

 

* Enfin clique sur le bouton [Nettoyer].

 

 

-> laisse travailler l'outil et ne touche à rien ...

 

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

 

 

Ensuite tu as des restes de McAfee donc fait ceci.

 

Téléchargez l'outil de suppression à partir de :

 

http://download.mcafee.com/products/licensed/cust_support_patches/MCPR.exe

 

 

Cliquez sur Enregistrer et enregistrez le fichier dans n'importe quel dossier sur votre ordinateur.

Recherchez le dossier où est enregistré le fichier.

Assurez-vous que toutes les fenêtres McAfee sont fermées.

Double-cliquez sur MCPR.exe pour exécuter l'outil de suppression.

 

Remarque : les utilisateurs de Windows Vista doivent cliquer avec le bouton droit sur MCPR.EXE et sélectionner Exécuter en tant qu'administrateur.

 

 

Redémarrez votre ordinateur après l'affichage du message CleanUp Successful (Nettoyage réussi).

 

Votre produit McAfee ne sera pas entièrement supprimé tant que vous n'aurez pas redémarré.

[Marco59]

Voici le rapport ZHPFix :

 

Rapport de ZHPFix 1.12.3249 par Nicolas Coolman, Update du 03/02/2011

Fichier d'export Registre : C:\ZHPExportRegistry-04-02-2011-13-43-12.txt

Run by Lucie at 04/02/2011 13:43:12

Windows Vista Home Basic Edition, 32-bit Service Pack 2 (Build 6002)

Web site : ZHPFix Fix de rapport

Contact : nicolascoolman@yahoo.fr

 

========== Clé(s) du Registre ==========

O42 - Logiciel: ClickPotato - (.Pinball Corporation..) [HKLM] -- ClickPotatoLiteSA => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!

O42 - Logiciel: Windows Searchqu Toolbar - (.Bandoo Media Inc.) [HKLM] -- Searchqu MediaBar => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!

HKCU\Software\Antimalware Doctor Inc => Clé supprimée avec succès

HKCU\Software\AppDataLow\Software\ShopperReports3 => Clé supprimée avec succès

HKCU\Software\DataMngr => Clé supprimée avec succès

HKCU\Software\ShopperReports3 => Clé supprimée avec succès

HKCU\Software\Spointer => Clé supprimée avec succès

HKCU\Software\clickpotatolitesa => Clé supprimée avec succès

HKLM\Software\ClickPotatoLite => Clé supprimée avec succès

HKLM\Software\DataMngr => Clé supprimée avec succès

HKLM\Software\SearchquMediabarTb => Clé supprimée avec succès

HKLM\Software\ShopperReports3 => Clé supprimée avec succès

O53 - SMSR:HKLM\...\startupreg\55195833 [Key] . (.Pas de propriétaire - Pas de description.) -- C:\ProgramData\55195833\55195833.exe => Clé supprimée avec succès

O64 - Services: CurCS - (.not file.) - 6534ea00 (6534ea00) .(.Pas de propriétaire - Pas de description.) - LEGACY_6534EA00 => Clé supprimée avec succès

O69 - SBI: SearchScopes [HKUS\.DEFAULT] {8A96AF9E-4074-43b7-BEA3-87217BDA7402} [DefaultScope] - (Web Search) - Search => Clé supprimée avec succès

O69 - SBI: SearchScopes [HKUS\S-1-5-18] {8A96AF9E-4074-43b7-BEA3-87217BDA7402} [DefaultScope] - (Web Search) - Search => Clé absente

 

========== Valeur(s) du Registre ==========

[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified => Valeur absente

O4 - HKLM\..\Run: [eRecoveryService] Clé orpheline => Valeur supprimée avec succès

O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\WI9130~1\Datamngr\DATAMN~1.exe (.not file.) => Valeur supprimée avec succès

O4 - HKCU\..\Run: [KB3114809.exe] C:\Users\Lucie\AppData\Roaming\Adobe\plugs\KB3114809.exe (.not file.) => Valeur supprimée avec succès

O4 - HKUS\S-1-5-21-223317506-3178609302-4170478559-1000\..\Run: [KB3114809.exe] C:\Users\Lucie\AppData\Roaming\Adobe\plugs\KB3114809.exe (.not file.) => Valeur absente

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès

O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

FirewallRaz : Aucune valeur présente dans la clé de registre "Domain Profile"

FirewallRaz (Private) : {60675903-7C79-47E8-9705-F8C2A6C500AD} => Valeur supprimée avec succès

FirewallRaz (Private) : {B3D68894-7261-4429-B07F-D15FDB175EBD} => Valeur supprimée avec succès

FirewallRaz (Public) : TCP Query User{D7A19B1E-602D-4287-91AE-867EC81CA49B}C:\program files\lexmark 2500 series\lxddamon.exe => Valeur supprimée avec succès

FirewallRaz (Public) : UDP Query User{52EE237A-8350-4F25-8036-9C41CDA1DF58}C:\program files\lexmark 2500 series\lxddamon.exe => Valeur supprimée avec succès

FirewallRaz (Private) : {D72B11F0-8778-481A-89A9-B28CDC81CE1B} => Valeur supprimée avec succès

FirewallRaz (Private) : {60E01BDC-B715-4210-8552-AA08C8EBBB5C} => Valeur supprimée avec succès

FirewallRaz (None) : {486A6BA4-7FCE-4B36-9F37-8DD51E157969} => Valeur supprimée avec succès

FirewallRaz (Public) : {D2B310D2-F00C-47CD-86FE-F8D7B8CDDF8B} => Valeur supprimée avec succès

FirewallRaz (Public) : {4008522F-49A0-4D5F-9131-9666AAF0DC45} => Valeur supprimée avec succès

 

========== Elément(s) de donnée du Registre ==========

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified => Donnée supprimée avec succès

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès

[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified => Donnée supprimée avec succès

 

========== Dossier(s) ==========

Dossiers Flash Cookies supprimés : 39

 

========== Fichier(s) ==========

Fichiers Flash Cookies supprimés : 18

 

========== Logiciel(s) ==========

O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] -- Antimalware Doctor => Logiciel déjà supprimé

O42 - Logiciel: Fun4IM - (.Bandoo Media Inc.) [HKLM] – Bandoo => Logiciel déjà supprimé

O42 - Logiciel: ShopperReports - (.SmartShopper.) [HKLM] – ShopperReportsSA => Logiciel déjà supprimé

 

========== Master Boot Record ==========

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, GMER - Rootkit Detector and Remover

Windows 6.0.6002 Disk: WDC_WD3200AAJS-22B4A0 rev.01.03A01 -> \Device\Ide\IdePort0

 

device: opened successfully

user: MBR read successfully

 

Disk trace:

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x85A0C555]<<

1 ntkrnlpa!IofCallDriver[0x81E50962] -> \Device\Harddisk0\DR0[0x84B262B0]

3 CLASSPNP[0x8739F8B3] -> ntkrnlpa!IofCallDriver[0x81E50962] -> [0x84B2FF08]

5 acpi[0x8060A6BC] -> ntkrnlpa!IofCallDriver[0x81E50962] -> [0x8415A578]

\Driver\atapi[0x8577D3C0] -> IRP_MJ_CREATE -> 0x85A0C555

kernel: MBR read successfully

detected hooks:

\Device\Ide\IdeDeviceP0T0L0-0 -> \??\IDE#DiskWDC_WD3200AAJS-22B4A0___________________01.03A01#5&267d2570&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found

user != kernel MBR !!!

sectors 625142446 (+255): user != kernel

Warning: possible TDL4 rootkit infection !

TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix.

 

Resultat après le fix :

Master Boot Record non infecté

 

 

========== Récapitulatif ==========

16 : Clé(s) du Registre

17 : Valeur(s) du Registre

5 : Elément(s) de donnée du Registre

1 : Dossier(s)

1 : Fichier(s)

3 : Logiciel(s)

1 : Master Boot Record

 

 

End of the scan

[bernard53]

ok cela va mieux cette fois?