Attaque d'un rogue

[lemouelr]

Bonjour,

 

Mon PC a été aujourd'hui victime d'un rogue avec des alertes de sécurité windows et la disparition des tous mes fichiers.

 

J'ai réussi à télécharger Malwarebytes' Anti-Malware qui a supprimé pas mal de trucs. Ensuite j'ai fait une restauration système mais je n'avais toujours pas récupéré tous mes fichiers. Je les revois grâce à l'option afficher les fichiers cachés.

 

Le principal est fait mais le PC n'est pas comme avant pour autant. Je suis sûr qu'il reste quelques saloperies résiduelles et comment faire pour que mes fichiers apparaissent normalement sans cocher l'option afficher les fichiers cachés?

 

Je vous transmets ci-joint les différents rapports:

 

Cliquez ici.

Cliquez ici.

Cliquez ici.

Cliquez ici.

Dernier rapport RSIT:

http://www.cijoint.fr/cjlink.php?file=cj201103/cijZ4uKQ4m.txt

 

D'avance, merci,

Modifié le 19 mars 2011 par lemouelr

[tomtom95]

Bonsoir lemouelr

 

Comme tu as déjà fait beaucoup de chose.

En plus tu passe MBAM, et ensuite fait une restauration système, ce qui réinstalle linfection sur le pc .

Quelques conseils avant de commencer

Important : Pense en haut de ce message à cliquer sur le bouton "Suivre ce sujet"

en choisissant "Notification immédiate"

 

S.T.P: n'utilise pas d'autre outils ou ne désinstalle pas des programmes

seulement ceux qui te sont notifier pour éviter tout problème .

 

Enregistre :toujours les outils sur ton bureau et désactive tes protections lors de utilisation des outils

Aprés Pense à réactiver tes protections à chaque fois

 

Bien lire les indications:

et si tu rencontre des problèmes n'hésiter pas à me le signaler avant d'effectuer une manip.

 

• Déconnecte toi d'Internet Ferme toutes les applications ouvertes
  
• Désactive tes défenses (anti-virus,anti-spyware)
   
  
• Relance List&Kill'em (clique droit pour vista,seven) executer en tant qu'administrateur
  mais cette fois-ci :
  
• choisis l'option 2 = Mode Destruction(CLEAN)
   
  
• laisse travailler l'outil apres les verifications un rapport va s'ouvrir.
  
• ferme-le. un deuxieme rapport va s'ouvrir
  
• colle son contenu dans ta reponse
  C:\Kill'em\Quarantine

 

• Déconnecte toi d'Internet Ferme toutes les applications ouvertes
  
• Désactive tes défenses (anti-virus,anti-spyware)
  
• Double-clique sur ZHPFix
  Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur
  
  Un raccourci installé par ZHPDiag sur le Bureau
   
  Sélectionne et surligne correctement avec la souris et "Clique droit > "Copier" ou "Ctrl+C"
  ces lignes ci dessous :

  M3 - MFPP: Plugins - [Raphael] -- C:\Users\Raphael\AppData\Roaming\Mozilla\Firefox\Profiles\bjfwbmg2.default\searchplugins\askcom.xml
  G1 - GCS: Preference [user Data\Default] http://tbsearch.ask.com
  O3 - Toolbar: (no name) - {66886C4D-B307-4ECA-A228-52CA9B9851A4} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
  O4 - HKLM\..\Run: [NPSStartup] Clé orpheline
  O4 - Global Startup: C:\Users\Raphael\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Notification de cadeaux MSN.lnk . (...) -- C:\Users\Raphael\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe (.not file.)
  O4 - Global Startup: C:\Users\Raphael\Desktop\Documents - Raccourci.lnk . (...) -- C:\Users\Raphael\Documents
  O4 - Global Startup: C:\Users\Raphael\Desktop\Images - Raccourci.lnk . (...) -- C:\Users\Raphael\Pictures
  O4 - Global Startup: C:\Users\Raphael\Desktop\Musique - Raccourci.lnk . (...) -- C:\Users\Raphael\Music
  O4 - Global Startup: C:\Users\All Users\Desktop\GPS Pulse Watch.lnk . (...) -- C:\Windows\Installer\{7CC28478-64D3-41DA-BD79-F97AAD657B29}\_E4791FD618B858666AB3FF.exe
  O23 - Service: (CLTNetCnService) - Clé orpheline
  O23 - Service: (MySQL1) - Clé orpheline
  [MD5.00000000000000000000000000000000] [APT] [CreateChoiceProcessTask] (.Pas de propriétaire.) -- (.not file.)
  [MD5.00000000000000000000000000000000] [APT] [Extension de garantie] (.Pas de propriétaire.) -- (.not file.)
  [MD5.00000000000000000000000000000000] [APT] [GoogleUpdateTaskMachineCore] (.Pas de propriétaire.) -- (.not file.)
  [MD5.00000000000000000000000000000000] [APT] [GoogleUpdateTaskMachineUA] (.Pas de propriétaire.) -- (.not file.)
  [MD5.00000000000000000000000000000000] [APT] [Recovery DVD Creator] (.Pas de propriétaire.) -- (.not file.)
  [MD5.00000000000000000000000000000000] [APT] [{441AFD3E-A47A-4949-9D6F-C29B068D50EA}] (.Pas de propriétaire.) -- (.not file.) => Fichier absent
  [MD5.00000000000000000000000000000000] [APT] [{732A72DD-9D08-4148-9E04-924591052461}] (.Pas de propriétaire.) -- (.not file.)
  [MD5.00000000000000000000000000000000] [APT] [AppleSoftwareUpdate] (.Pas de propriétaire.) -- (.not file.)
  [MD5.00000000000000000000000000000000] [APT] [MP Scheduled Scan] (.Pas de propriétaire.) -- (.not file.)
  O42 - Logiciel: Favorit (kwbequae) - (.Pas de propriétaire.) [HKLM] -- kwbequae
  O42 - Logiciel: GPS Sport Training Gym - (. .) [HKLM] -- {7CC28478-64D3-41DA-BD79-F97AAD657B29}
  O42 - Logiciel: GearDrvs - (.Symantec Corporation.) [HKLM] -- {206FD69B-F9FE-4164-81BD-D52552BC9C23}
  O42 - Logiciel: Norton 360 - (.Pas de propriétaire.) [HKLM] -- N360_2007_FR
  O42 - Logiciel: Norton 360 - (.Symantec Corporation.) [HKLM] -- {63A6E9A9-A190-46D4-9430-2DB28654AFD8}
  O42 - Logiciel: Notification de cadeaux MSN - (.Microsoft.) [HKCU] -- Notification de cadeaux MSN
  O42 - Logiciel: Race Driver 2 - (.Codemasters.) [HKLM] -- InstallShield_{D474A0E8-4421-43C0-BE8E-F454F91E2E2A
  O43 - CFD: 07/05/2009 - 20:06:20 - [0] --H-D- C:\Program Files\BitDefender
  O43 - CFD: 19/03/2011 - 16:04:30 - [13879] ----D- C:\Program Files\ConduitEngine
  O43 - CFD: 19/03/2011 - 15:03:40 - [21135579] --H-D- C:\Program Files\GridinSoft Trojan Killer
  O43 - CFD: 16/02/2010 - 20:11:02 - [1625112] ----D- C:\Program Files\McAfee Security Scan
  O43 - CFD: 07/05/2009 - 19:40:22 - [0] --H-D- C:\Program Files\Norton 360
  O43 - CFD: 07/05/2009 - 22:05:02 - [69800] --H-D- C:\Program Files\Common Files\BitDefender
  O43 - CFD: 07/05/2009 - 19:41:50 - [453800] ----D- C:\Program Files\Common Files\Symantec Shared
  O43 - CFD: 15/01/2010 - 12:43:32 - [131170] --H-D- C:\ProgramData\McAfee
  O43 - CFD: 19/03/2011 - 22:01:50 - [155] ----D- C:\ProgramData\McAfee Security Scan
  O43 - CFD: 07/05/2009 - 19:41:48 - [2362] --H-D- C:\ProgramData\Symantec
  O43 - CFD: 19/03/2011 - 22:02:04 - [1259230] ----D- C:\Users\Raphael\AppData\Roaming\uTorrent
  O44 - LFC:[MD5.5B06ED2E85E3723BCF4D8E5C3ECBBD08] - 19/03/2011 - 10:08:16 ---A- . (...) -- C:\Windows\System32\ANIWZCSUSERNAME{82885152-632D-4C25-AB81-2D6861B045D2}
  O64 - Services: CurCS - (.not file.) - BDFM (bdfm) .(...) - LEGACY_BDFM
  O64 - Services: CurCS - (.not file.) - bdfsfltr (bdfsfltr) .(...) - LEGACY_BDFSFLTR
  O64 - Services: CurCS - (.not file.) - bdftdif (bdftdif) .(...) - LEGACY_BDFTDIF
  O64 - Services: CurCS - (.not file.) - BDSelfPr (BDSelfPr) .(...) - LEGACY_BDSELFPR
  O64 - Services: CurCS - (.not file.) - SymEvent (SymEvent) .(...) - LEGACY_SYMEVENT
  O64 - Services: CurCS - (.not file.) - SYMREDRV (SYMREDRV) .(...) - LEGACY_SYMREDRV
  O64 - Services: CurCS - (.not file.) - SYMTDI (SYMTDI) .(...) - LEGACY_SYMTDI
  O69 - SBI: C:\Users\Raphael\AppData\Roaming\Mozilla\Firefox\Profiles\bjfwbmg2.default\searchplugins\askcom.xml
  O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} [DefaultScope] - (Ask Search) - http://tbsearch.ask.com
  [MD5.2E1112B3688F796F7FD3FAF1F01C58F8] [sPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Raphael\AppData\Local\kwbequae.bat
  [MD5.809F37EA6B7330AD17C7C28FD508B87D] [sPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\Raphael\AppData\Local\Temp\pool.bin
  [MD5.60C40717E07AD316ECE76A469C323992] [sPRF] (.Pas de propriétaire - PCAutoRun MFC Application.) -- C:\Users\Raphael\AppData\Local\Temp\RDtemp.exe
  O87 - FAEL: "TCP Query User{B69D2E85-6B15-4352-80FF-B73100CBCFB0}C:\program files\utorrent\utorrent.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files\utorrent\utorrent.exe (.not file.)
  O87 - FAEL: "UDP Query User{880FED67-8CB5-42CC-BF11-8F4A3F737AB6}C:\program files\utorrent\utorrent.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files\utorrent\utorrent.exe (.not file.)
  O87 - FAEL: "TCP Query User{A9B2D99C-F03E-43FC-89D6-D1F83FC4A7F1}C:\program files\codemasters\race driver 2\rd2.exe" | In - Private - P6 - TRUE | .(.Codemasters - RaceDriver 2 Application.) -- C:\program files\codemasters\race driver 2\rd2.exe
  O87 - FAEL: "UDP Query User{FBF38710-8835-4547-9EBE-F0228554BC46}C:\program files\codemasters\race driver 2\rd2.exe" | In - Private - P17 - TRUE | .(.Codemasters - RaceDriver 2 Application.) -- C:\program files\codemasters\race driver 2\rd2.exe
  [HKCU\Software\fcn]
  [HKLM\Software\McAfee.com]
  [HKLM\Software\Symantec]
  [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
  [HKCU\Software\fcn]
  SS - | Auto 12/12/2008 0 | (CLTNetCnService) . (...) - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
  

• Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la "malette cachée par la feuille" .
   
  
• Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
  
• Et seulement ces lignes
  
• Puis clique sur le bouton [OK]
  
• A ce moment apparaîtra au début de chaque ligne
  une petite case vide.
  
• Ensuite clique sur Tous puis sur Nettoyer
  
• Valide par Oui la désinstallation des programmes si demandé
  
• Laisse l'outil travailler. Si un redémarrage est demandé accepte et redémarre le PC
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
   
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

Post moi les deux rapports stp:

Kill'em CLEAN

ZHPFixReport.txt

 

A+

 

 

**********************************

Aujourd'hui 7/04/2011

Pas de réponse sujet supprimé de mes suivis.

Modifié le 7 avril 2011 par tomtom95