[résolu]Aide à l'éradication de malwares

ArouG · le 31 mai 2011

Bonjour,

Suite à un souci, j'ai réalisé - suite à la suggestion de tonton (http://forum.zebulon.fr/findpost-t185614-p1555017.html) - un scan avec le logiciel ZHPDiag de Nicolas Coolman.

Le rapport d'analyse se trouve là : http://aroug.eu/te s t/ZHPDiag.txt.

Pour tonton, c'est un véritable feu d'artifice :-?

Nota : j'ai - depuis - réussi (je pense) à expliquer la présence de ce script. En effet, lorsque je désactive l'extension "AutoCompletePro", je ne le vois plus sous Firebug.

Ceci dit, j'ai quand même un sacré nombre d'infections !! et - s'il faut les traiter (je ne sais même pas quels risques je fais courir à mon système) ... alors, traitons-les.

Merci d'avance.

Modifié le 11 juin 2011 par ArouG

bernard53 · le 31 mai 2011

Bonsoir ArouG

Tonton57 a vu juste comme d'habitude. :jap:

fait ceci s.t.p

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

M3 - MFPP: Plugins - [ArouG] -- C:\Program Files (x86)\Mozilla FireFox\searchplugins\fcmdSrchost.xml

M0 - MFSP: prefs.js [ArouG - cgjz33sz.default] Facemoods Search

M2 - MFEP: prefs.js [ArouG - cgjz33sz.default\ffxtlbr@Facemoods.com] [] Facemoods v1.2.1 (.Volo-Net.)

M2 - MFEP: prefs.js [ArouG - cgjz33sz.default\support@predictad.com] [] AutocompletePro - Your handy search suggestions tool v0.6.8 (.Yossi Marouani; http://www.predictad.com.)

G2 - GCE: Preference [user Data\Default] [defdhglnppeioeflggkmglipcecffkhk] AutocompletePro plugin for chrome v.1.0 (Activé)

G2 - GCE: Preference [user Data\Default] [dpicnlijpdlebkhpegfenfjpglinfdhm] OfferBox v.5.1.2276.19 (Activé)

G2 - GCE: Preference [user Data\Default] [ihflimipbcaljfnojhhknppphnnciiif] Facemoods v.1.3.0.1 (Activé)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://s earch.autocompletepro.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://s earch.autocompletepro.com

R1 - HKUS\S-1-5-21-2101528099-1914257027-513674023-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://s earch.autocompletepro.com

O2 - BHO: SuggestMeYesBHO [64Bits] - {0FB6A909-6086-458F-BD92-1F8EE10042A0} . (.SimplyGen - AutocompletePro - Helps you search the web.) -- C:\Program Files (x86)\AutocompletePro\64\AutocompletePro64.dll

O2 - BHO: facemoods Helper [64Bits] - {64182481-4F71-486b-A045-B233BD0DA8FC} . (.facemoods.com BHO - Pas de description.) -- C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.5\bh\facemoods.dll

O2 - BHO: OfferBox [64Bits] - {703740c1-0f1a-4cec-a4df-d78db0158477} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files (x86)\OfferBox\extensions-3.1.3878.129\offerbox_air_iexplorer.dll

O4 - HKLM\..\Wow6432Node\Run: [facemoods] . (.facemoods.com - Pas de description.) -- C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.5\facemoodssrv.exe

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.

O42 - Logiciel: AutocompletePro - (.Pas de propriétaire.) [HKLM][64Bits] -- AutocompletePro3_is1

O42 - Logiciel: Facemoods Toolbar - (.Pas de propriétaire.) [HKLM][64Bits] -- facemoods

[HKCU\Software\Autocompletepro]

[HKCU\Software\OfferBox]

[HKCU\Software\facemoods.com]

[HKLM\Software\OfferBox]

[HKLM\Software\facemoods.com]

O43 - CFD: 18/05/2011 - 08:08:56 - [156] ----D- C:\Users\ArouG\AppData\Roaming\OfferBox

O43 - CFD: 17/12/2010 - 21:08:02 - [1017846] ----D- C:\Program Files (x86)\AutocompletePro

O43 - CFD: 19/02/2011 - 10:41:08 - [1798084] ----D- C:\Program Files (x86)\facemoods.com

O43 - CFD: 18/05/2011 - 08:08:56 - [162896] ----D- C:\Program Files (x86)\OfferBox

O69 - SBI: SearchScopes [HKCU] {0D7562AE-8EF6-416d-A838-AB665251703A} - (Facemoods Search) - Facemoods Search

O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Web Search) - http://s earch.autocompletepro.com

[MD5.006E59FCDC96865469034572047343EA] [sPRF] (.Aedge Performance BCN SL - OfferBox Browser setup.) -- C:\Users\ArouG\AppData\Local\Temp\OB.exe [1586208]

FirewallRaz

EmptyFlash

Emptytemp

Puis Lance ZHPFix depuis le raccourci du bureau.

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

- Clique sur le bouton « GO » pour lancer le nettoyage,

- Copie/colle la totalité du rapport dans ta prochaine réponse

-> laisse travailler l'outil et ne touche à rien ...

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

Ensuite ceci pour mettre a jour Java.

** Télécharge JavaRA

**Aide en images

Ensuite.

Installe Malewarebytes' Antimalware,

Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer

Prends bien la version FREE

*** Met-le à jour puis choisi, Exécuter un examen complet

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.

ArouG · le 1 juin 2011

...

Poste le rapport final.

Bon ... en ce qui concerne - après avoir lancé ZHPFix, il m'a sorti une erreur :

Violation d'acccès à l'adresse 427C96 dans le module ZHPFix . Lecture de l'adresse 8000000A

J'ai donc recliqué sur GO

Après coup, il m'a sorti le rapport suivant : http://aroug.eu/test/ZHPfix_rapport.txt

J'ai relancé manuellement mon PC puisque l'on m'indiquait qu'il devait rebooté (?)

J'ai enfin lancé un rapport de MBAM :

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

Version de la base de données: 6697

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

01/06/2011 21:47:34

mbam-log-2011-06-01 (21-47-34).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)

Elément(s) analysé(s): 443321

Temps écoulé: 43 minute(s), 1 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):