[Résolu] Infection ordinateur

[Lt Kapout]

Bonjour TomTom95, me voici de retour!

Alors, voici l'autre rapport de OTL...Ca devrait etre le bon

Par contre, je ne peux envoyer a partir de cijoint...Probleme SLQ ou un truc comme ca

Je n'ai pas tout compris...^^

OTL:

MEGAUPLOAD - The leading online storage and file delivery service

 

Et le rapport ZHP diag:

MEGAUPLOAD - The leading online storage and file delivery service

[tomtom95]

Bonjour Lt Kapout

 

La prochaine fois post les rapports avec ce lien http://pjjoint.malekal.com/

Copie/et colle dans l'espace en bas de page et clique sur envoyer

Tu aura un lien (voici le lien a donner)surligne la ligne bleu ,et clique droit >> copie et colle le lien ici sur le forum

 

Il y a encore des reste infection .

 

• Ferme toutes les applications ouvertes
  
• Désactive tes défenses (anti-virus ,anti-spyware)
  
• Double-clique sur ZHPFix
  Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur
  
  Un raccourci installé par ZHPDiag sur le Bureau
   
  Sélectionne et surligne correctement avec la souris et "Clique droit > "Copier" ou "Ctrl+C"
  ces lignes ci dessous :

  [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
  O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline
  O42 - Logiciel: Anti-phishing Domain Advisor - (.Visicom Media Inc. (Powered by Panda Security).) [HKLM] -- Anti-phishing Domain Advisor
  O42 - Logiciel: Babylon toolbar on IE - (.Pas de propriétaire.) [HKLM] -- BabylonToolbar
  O42 - Logiciel: BitTorrent - (.BitTorrent, Inc.) [HKLM] -- BitTorrent
  O42 - Logiciel: Europa Barbarorum 1.1 - (.Europa Barbarorum.) [HKLM] -- {9BCAC864-84C0-409F-8D12-364109622D18}_is1
  O42 - Logiciel: Europa Barbarorum 1.2 - (.Europa Barbarorum.) [HKLM] -- {AD3E68F5-D141-49C0-B002-28B48030B902}_is1
  O42 - Logiciel: Europa Barbarorum Mega Mod Pack for Alex.exe - (.Pas de propriétaire.) [HKCU] -- Europa Barbarorum Mega Mod Pack for Alex.exe
  O42 - Logiciel: Java 6 Update 25 - (.Oracle.) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216025FF}
  O42 - Logiciel: SFV Checker - (.Pas de propriétaire.) [HKLM] -- {C9736F27-3CFC-4AF9-B2A7-5B1A54B1A84F}
  O42 - Logiciel: X-Wing Install System 2.71 - (.Pas de propriétaire.) [HKLM] -- X-Wing Install System
  [HKCU\Software\AppDataLow\Software\antiphishing-webblog1_1dn]
  [HKCU\Software\Moovida]
  [HKCU\Software\Softonic]
  [HKCU\Software\X-Wing Install System]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}]
  [HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\BabylonToolbar]
  O43 - CFD: 28/09/2010 - 19:50:00 - [1145777] ----D- C:\Program Files\BitTorrent
  O43 - CFD: 03/07/2011 - 20:10:34 - [4024624] ----D- C:\Program Files\EBTrivialScript
  O43 - CFD: 28/04/2011 - 10:37:00 - [261981] ----D- C:\Program Files\X-Wing Install System
  O43 - CFD: 17/01/2011 - 21:26:52 - [2680663] ----D- C:\Documents and Settings\Propriétaire\Local Settings\Application Data\antiphishing-webblog1_1dn
  O47 - AAKE:Key Export SP - "C:\Program Files\Fox\Aliens vs. Predator 2\lithtech.exe" [Disabled] .(...) -- C:\Program Files\Fox\Aliens vs. Predator 2\lithtech.exe (.not file.)
  O47 - AAKE:Key Export SP - "C:\Program Files\Starbreeze Studios\Knights Of The Temple\Templar.exe" [Enabled] .(...) -- C:\Program Files\Starbreeze Studios\Knights Of The Temple\Templar.exe (.not file.)
  O47 - AAKE:Key Export SP - "C:\Program Files\LucasArts\Star Wars JK II Jedi Outcast\GameData\jk2mp.exe" [Enabled] .(...) -- C:\Program Files\LucasArts\Star Wars JK II Jedi Outcast\GameData\jk2mp.exe (.not file.)
  O47 - AAKE:Key Export SP - "C:\Program Files\eMule\emule.exe" [Enabled] .(...) -- C:\Program Files\eMule\emule.exe (.not file.)
  O47 - AAKE:Key Export SP - "C:\Program Files\BitTorrent\bittorrent.exe" [Enabled] .(.BitTorrent, Inc. - BitTorrent.) -- C:\Program Files\BitTorrent\bittorrent.exe
  O47 - AAKE:Key Export SP - "C:\Program Files\LimeWire\LimeWire.exe" [Enabled] .(...) -- C:\Program Files\LimeWire\LimeWire.exe (.not file.)
  O47 - AAKE:Key Export SP - "C:\Program Files\Valve\Half-Life\hl.exe" [Enabled] .(...) -- C:\Program Files\Valve\Half-Life\hl.exe (.not file.)
  O47 - AAKE:Key Export SP - "F:\Thomas\jeu\Stronghold 2\Stronghold2.exe" [Enabled] .(...) -- F:\Thomas\jeu\Stronghold 2\Stronghold2.exe (.not file.)
  O47 - AAKE:Key Export SP - "C:\Documents and Settings\Propriétaire\Local Settings\Temp\70118712888.exe" [Disabled] .(...) -- C:\Documents and Settings\Propriétaire\Local Settings\Temp\70118712888.exe (.not file.)
  O47 - AAKE:Key Export SP - "H:\Thomas\Star Wars Jedi Knight Jedi Academy\GameData\jamp.exe" [Disabled] .(...) -- H:\Thomas\Star Wars Jedi Knight Jedi Academy\GameData\jamp.exe (.not file.)
  O47 - AAKE:Key Export SP - "C:\Documents and Settings\Propriétaire\Application Data\VWGH30Z9R9.exe" [Enabled] .(...) -- C:\Documents and Settings\Propriétaire\Application Data\VWGH30Z9R9.exe (.not file.)
  O47 - AAKE:Key Export SP - "C:\Documents and Settings\Propriétaire\Application Data\svchost.exe" [Enabled] .(...) -- C:\Documents and Settings\Propriétaire\Application Data\svchost.exe (.not file.)
  O47 - AAKE:Key Export SP - "C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe" [Enabled] .(.Microsoft Corporation - Visual Basic Command Line Compiler.) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe
  O47 - AAKE:Key Export SP - "C:\Documents and Settings\Propriétaire\Application Data\0Q11SIUAOM.exe" [Enabled] .(...) -- C:\Documents and Settings\Propriétaire\Application Data\0Q11SIUAOM.exe (.not file.)
  O47 - AAKE:Key Export SP - "H:\Thomas\jeu\Stronghold 2\Stronghold2.exe" [Enabled] .(...) -- H:\Thomas\jeu\Stronghold 2\Stronghold2.exe (.not file.)
  O47 - AAKE:Key Export SP - "C:\Program Files\FrostWire\FrostWire.exe" [Enabled] .(...) -- C:\Program Files\FrostWire\FrostWire.exe (.not file.)
  O47 - AAKE:Key Export SP - "C:\Program Files\Fluendo\Moovida\Moovida.exe" [Enabled] .(...) -- C:\Program Files\Fluendo\Moovida\Moovida.exe (.not file.)
  O47 - AAKE:Key Export SP - "C:\Program Files\Cityvillebot - Energy Plugin\CVBot.exe" [Enabled] .(...) -- C:\Program Files\Cityvillebot - Energy Plugin\CVBot.exe (.not file.)
  O64 - Services: CurCS - ??/??/???? - C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\gel90xne.sys (.not file.) - No object (No service) .(...) - LEGACY_GEL90XNE
   
  EmptyTemp
  EmptyFlash
  

• Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la "malette cachée par la feuille" .
   
  
• Vérifie que toutes les lignes que je t'ai demandé de copier sont dans la fenêtre.
  
• Et seulement ces lignes
  
• Puis clique sur le bouton [OK]
  
• A ce moment apparaîtra au début de chaque ligne
  une petite case vide. [ ]
  
• Ensuite clique sur Tous puis sur Nettoyer
  
• Valide par Oui la désinstallation des programmes si demandé
  
• Laisse l'outil travailler. Si un redémarrage est demandé accepte et redémarre le PC
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
   
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

 

Télécharge Gmer. (Przemyslaw Gmerek)

• Cliquer sur le bouton "Download EXE"
  - Sauvegardez sur le Bureau.
  
• Clique droit "executer en tant qu'administrateur" pour Vista / W7 sur le raccourci sur ton bureau pour lancer l'installation
  - Collez et sauvegardez ces instructions dans un fichier texte ou imprimez-les
  car il faudra fermer le navigateur.
  Avant toute utilisation de GMER
  veuille a désactiver ton antivirus,et antispyware
   
  
• Déconnecte toi d'Internet puis ferme tous les programmes.
  
• Double-clique sur Gmer.exe.
  
• Clique sur l'onglet Rootkit
  
• A droite Vérifiez que soient décochées l'options suivante :
  Show All
  Coche la,ou les cases des tes disques (C,etc..)
  
• Clique maintenant sur Scan.patiente (c'est un peu long 10mn)
  
• Lorsque le scan est terminé
  les éléments détectés comme rootkit apparaissent en rouge dans chaque section
   
  Si aucun rootkit n'est détecté
  
• Clique sur le bouton Copy puis OK et colle le rapport dans ton prochain message.
   
  
• Si un rootkit est détecté au démarrage du programme
  une boite de dialogue s'ouvre :

  WARNING
  GMER has found rootkit activity
  Do you want to fully scan your system ?

• Clique sur "YES"
   
  Une fois le scan terminé clique sur le bouton Copy puis OK et colle le rapport dans ton prochain message.
   
  Le bouton Copy permet de récupérer le résultat pour effectuer un copier/coller.
  Le bouton Save permet l'enregistrement du rapport sur votre disque au format texte.
   
  
• clique sur Copy.et poste le contenu ici.
  
• Enregistre aussi le fichier sur ton Bureau

 

A++

[Lt Kapout]

Bonjour,

merci de bien vouloir continuer de m'aider

Donc, voici le rapport de ZHPfix:

pjjoint.malekal.com - TXT_TITLE

 

Je vais faire Gmer, je te mettrais donc le rapport ici par edit si tu n'as pas encore repondu

[tomtom95]

Bonjour

 

Bon boulot

Comment ce comporte le pc ?

 

A+

[Lt Kapout]

Et bien, le pare feu windows ne veut toujours pas se reactiver et il est marqué, pour un demarrage suivant une fermeture windows pas tres correct que le disque C ne peut etre verifie car il n'est pas en acces direct.

Par contre, comme tu as pu le constater des logiciels comme Malware antimalware bytes sont redevenus utilisables!

 

Donc voici les rapports Gmer. Par contre, je ne sais plus comment je me suis debrouille mais j'ai reussi a en avoir 2 differents...

Cijoint.fr - Service gratuit de dépôt de fichiers

Cijoint.fr - Service gratuit de dépôt de fichiers

[tomtom95]

Normal pour les deux rapports ,tu as fait deux scannes un a 17h:21,l'autre a 23h:59

Rootkit scan 2011-07-21 17:21:09

Rootkit scan 2011-07-21 23:59:48

 

Tu va supprimer ce service

 

Service (*** hidden *** )[MANUAL] 1183569966

Suis ce tuto

supprimer un rootkit avec Gmer

 

Pour le par-feu

Clique sur Démarrer >> puis sur Exécuter tape cmd >> valide avec OK

dans l'invite de commande copie/colle: netsh firewall set opmode enable

valide par entrer

Ensuite

Clique sur démarrer >> exécuter tape firewall.cpl

choisir l’option "Activé (recommandé)" pour activer le pare-feu.

 

A++

[Lt Kapout]

Bonjour. Merci de ton aide! Mais...

Que faire avec gmer car je ne peux faire "kill process", l'option n'est pas grisée.

Que faire avec le pare feu car lorsque je fais netsh firewall set opmode enable, windows me dit "le service n'a pas ete demarré"

[tomtom95]

Bonsoir Lt Kapout

 

Pour le service par-feu vérifie dans le gestionnaire des services

Démarrer >> exécuter tape services.msc

Cherche par-feu windows

Double clique dessus >> dans la fenêtre type de démarrage ,met automatique

Et sur Statut du service clique sur démarrer.

Redémarre le pc

Ensuite

Clique sur démarrer >> exécuter tape firewall.cpl

choisir l’option "Activé (recommandé)" pour activer le pare-feu.

 

 

 

Pour Gmer pour le service caché actuellement il est en manuel >>[MANUAL] 1183569966

Pour l'instant Tu va le mettre en désactivé >> va sur l'onglet service de Gmer >>

Clique droit sur Manuel 1183569966 ,coche l'option DISABLED et valide en bas de page avec OK.

 

A+

[Lt Kapout]

Bonsoir Tomtom

Des problemes, des problemes!

Car pour le pare feu, je vais dans le statut du service, démarrer...Mais Windows me dit Erreur 2, le fichier specifié est introuvable...

Pour Gmer, je vais dans services comme tu me l'as dit, je coches Disabled et je fais ok mais il reste en manual. D'ailleurs, des que je coches Disabled, rien ne se passe, il reste en manual!

Donc, j'ai envie de dire souci!

[tomtom95]

D'accord vérifie dans le gestionnaire des services

 

Que le Service de la passerelle de la couche Application est en automatique et démarrer

Démarrer >> exécuter tape services.msc

Cherche Service de la passerelle de la couche Application

Double clique dessus >> dans la fenêtre type de démarrage ,met automatique

Et sur Statut du service clique sur démarrer.clique pour valider sur appliquer et sur OK

Redémarre le pc

 

Et ensuite refait la même manip pour le par-feu du post #28.

 

Si tu as encore une erreur aprés fait cette manip:

 

• Clique sur Démarrer, sur Exécuter, tape cmd, valide avec OK.
  Sur la page l'invite de commande:
  
• Tape la commande suivante:
  Rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf >> puis tape sur [entrée]
  Redémarre le pc.
  Ensuite
  
• Clique sur Démarrer, sur Exécuter, tape cmd, sur OK.
  Sur la page tape la commande :
  Netsh firewall reset >> valide avec la touche [Entrée]
  De nouveau
  
• Clique sur Démarrer, sur Exécuter, tape firewall.cpl,
  
• clique sur OK .
  Dans la boîte de dialogue Pare-feu Windows, clique sur Activé (recommandé), puis sur OK.

 

 

Télécharge SEAF.exe de C_XX

http://www.teamxscript.org/SEAFTelechargement.html

Enregistre-le sur le Bureau

 

Double clique sur SEAF.exe

Une fenêtre va s'ouvrir .

• 1 - Dans la fenêtre de recherche
  tape 1183569966.sys
  
• 2 - Dans [ Options des fichiers ] Sélectionne MD5 pour Calculer le ckecksum et coche les 3 cases en-dessous
  
• 3 - Dans [ Options du registre ] coche Chercher également dans le registre
  
• 4 -Puis clique sur lancer la recherche
   
  Patiente pendant la recherche.
  Lorsque la recherche est terminée
  une fenêtre apparaît.
  Clique sur Non
  Une fenêtre va s'afficher avec un log.txt .
  Le rapport est enregistré ici C:\SeafLog.txt.
  Dans ta prochaine réponse Copie/colle ce rapport stp.

 

A+