Suis je infectée ?

[Apollo]

Bonjour,

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Clique sur H .
   
  
• Copie-colle les lignes ci-dessous dans la fenêtre

 

O43 - CFD: 12/05/2011 - 16:23:52 - [0] ----D- C:\Documents and Settings\user\Application Data\Nosibay   
[HKLM\Software\Classes\imside1egate.application.1]      
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{b0de3308-5d5a-470d-81b9-634fc078393b}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{b0de3308-5d5a-470d-81b9-634fc078393b}]
C:\Documents and Settings\user\Application Data\Nosibay   
O2 - BHO: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\myBabylon\tbmyB0.dll  
O3 - Toolbar: myBabylon Toolbar - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\myBabylon\tbmyB0.dll  
[HKCU\Software\AppDataLow\Software\iGraal]    
O43 - CFD: 05/06/2010 - 13:04:40 - [1155626] ----D- C:\Documents and Settings\user\Application Data\igraal    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar]      
emptytemp
emptyflash
sysrestore   

 

• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer clique pour la version FREE et enregistre l'exécutable sur le bureau.

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

 

@++

[clarine1950]

voici le rapport :

Je m'occupe a présent MBAM.

 

Rapport de ZHPFix 1.12.3344 par Nicolas Coolman, Update du 21/07/2011

Fichier d'export Registre : C:\ZHPExportRegistry-23-07-2011-14-42-41.txt

Run by user at 23/07/2011 14:42:41

Windows XP Home Edition Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

 

========== Clé(s) du Registre ==========

SUPPRIME Key: HKLM\Software\Classes\imside1egate.application.1

SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{b0de3308-5d5a-470d-81b9-634fc078393b}

SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{b0de3308-5d5a-470d-81b9-634fc078393b}

SUPPRIME Key: CLSID BHO: {34ea1c70-42cc-42c5-aa29-ec58b95a343e}

SUPPRIME Key: HKCU\Software\AppDataLow\Software\iGraal

SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}

SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed}

SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}

SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041d03e-fd4b-44e0-b742-2d9b88305f98}

ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar

 

========== Valeur(s) du Registre ==========

SUPPRIME Toolbar: {34ea1c70-42cc-42c5-aa29-ec58b95a343e}

 

========== Dossier(s) ==========

SUPPRIME Folder*: C:\Documents and Settings\user\Application Data\Nosibay

SUPPRIME Folder*: C:\Documents and Settings\user\Application Data\igraal

SUPPRIME Temporaires Windows: : 69

SUPPRIME Flash Cookies: 1

 

========== Fichier(s) ==========

ABSENT Folder/File: c:\documents and settings\user\application data\nosibay

SUPPRIME c:\program files\mybabylon\tbmyb0.dll

ABSENT File: c:\program files\mybabylon\tbmyb0.dll

SUPPRIME Temporaires Windows: : 7

SUPPRIME Flash Cookies: 0

 

========== Restauration Système ==========

Point de restauration non crée

 

========== Autre ==========

NON TRAITE ZHPFix :

NON TRAITE Ferme toutes les applications ouvertes

NON TRAITE Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau

NON TRAITE Important:

NON TRAITE Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.

NON TRAITE Clique sur H Image IPB.

NON TRAITE Copie-colle les lignes ci-dessous dans la fenêtre

NON TRAITE Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.

NON TRAITE Clique sur le bouton GO pour lancer le nettoyage

NON TRAITE Valide par Oui la désinstallation des programmes si demandé

NON TRAITE Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC

NON TRAITE Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.

NON TRAITE Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

NON TRAITE ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

NON TRAITE Télécharge Malwarebytes' Anti-Malware (MBAM).

NON TRAITE Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer clique pour la version FREE et enregistre l'exécutable sur le bureau.

NON TRAITE Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

NON TRAITE Ce logiciel est à garder.

NON TRAITE Uniquement en cas de problème de mise à jour:

NON TRAITE Télécharger mises à jour MBAM

NON TRAITE Exécute le fichier après l'installation de MBAM

NON TRAITE Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

NON TRAITE Double clique sur le fichier téléchargé pour lancer le processus d'installation.

NON TRAITE Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.

NON TRAITE Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".

NON TRAITE Sélectionne "Exécuter un examen complet"

NON TRAITE Clique sur "Rechercher"

NON TRAITE L'analyse démarre, le scan est relativement long, c'est normal.

NON TRAITE A la fin de l'analyse, un message s'affiche :

NON TRAITE Citation

NON TRAITE L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

NON TRAITE Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.

NON TRAITE Ferme tes navigateurs.

NON TRAITE Si des malwares ont été détectés, clique sur Afficher les résultats.

NON TRAITE Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

NON TRAITE MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

NON TRAITE Si MBAM demande à redémarrer le pc, fais-le.

NON TRAITE Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

 

========== Récapitulatif ==========

10 : Clé(s) du Registre

1 : Valeur(s) du Registre

4 : Dossier(s)

5 : Fichier(s)

1 : Restauration Système

38 : Autre

 

 

========== Chemin du fichier rapport ==========

C:\Program Files\ZHPDiag\ZHPFixReport.txt

 

 

 

End of the scan in 00mn 54s

[clarine1950]

...et voici MBAM

 

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org

 

Version de la base de données: 7249

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

23/07/2011 17:41:37

mbam-log-2011-07-23 (17-41-37).txt

 

Type d'examen: Examen complet (C:\|F:\|)

Elément(s) analysé(s): 277523

Temps écoulé: 1 heure(s), 27 minute(s), 19 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\IMSIDE1EGATE.APPLICATION.1 (Trojan.Agent) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\IMsiDe1egate.Application.1\(default) (Trojan.Agent) -> Value: (default) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[Apollo]

Re,

 

Tu ne devais copier que le contenu du cadre pour zhpfix et non mes commentaires, mais ce n'est pas grave puisque cela a quand-même fonctionné.

 

Comment va la machine?

 

@++

[clarine1950]

Bonjour Apollo

 

Beaucoup mieux. Merci.

Par contre, la mise en route d'XP est très lente (le curseur passe 18 fois avant de me donner accès au bureau) et la fermeture aussi est lente.

J'ai effectuée une recherche "toolbar" il m'en trouve 57 ! est-ce normal ?

Bon Dimanche

[Apollo]

Bonjour,

 

On va faire un scan antivirus, mais il est possible que tu doives te rendre sur le forum optimisation pour voir un peu comment on peut améliorer les performances du pc. ou ici: Aide à la résolution de problèmes sur Windows XP

 

Mais de fait, moi même je constate une différence énorme entre ce pc-ci et mon xp qui est sur une machine plus ancienne et c'est relativement normal.

Combien as-tu de mémoire physique totale? Tu peux le voir en pressant les touches Windows et Pause.

 

ESET ONLINE SCANNER

 

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce logo:

http://download.eset.com/special/eos/esetsmartinstaller_enu.exe

• Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
  
• Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
  
• Une fois le scanner installé, configure-le en cochant la case "Remove found threats" et en cochant la case "Scan archives" de même que la case "scan for the potentially unsafe applications."
   
  
• Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
  
• Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
   
  
• Une nouvelle fenêtre aparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
  
• Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
   
  
• Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
  
• Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse
  

 

Nota : ce scan peut être très long et prendre plusieurs heures.

 

@++

[clarine1950]

HELP Apollo

Sur le résultat du scan ESET je n'ai pas uninstall !

juste list of found threats et manage quarantine et en bas à droite Finish

ou alors je ne vois pas clair !!!

Je garde le résultat ouvert en attendant ta réponse

Que faire ?

Merci

[Apollo]

Re,

 

Relis les explications: tu dois d'abord exporter le résultat en fichier texte avant de poursuivre.

 

Mais je ne sais pas, cela a peut-être changé, moi je n'utilise jamais de scan en ligne

 

Sinon, cela n'est pas grave si tu ne sais pas désinstaller l'application.

 

++

[clarine1950]

Le résultat du scan en document texte est bien sur mon bureau mais rien ne sera éliminé ??

[clarine1950]

Réponse a ta question antérieure : ADM ATHLON XP 2800+

2.08 ghZ ET 1.50 go de RAM

 

Voici le résultat ESET

 

C:\Documents and Settings\user\Bureau\Logiciels divers installés\NETTOYEURS PC\speedupmypc3plc.exe Win32/SpeedUpMyPC application deleted - quarantined

C:\Program Files\Uniblue\SpeedUpMyPC\Launcher.exe Win32/SpeedUpMyPC application cleaned by deleting - quarantined

C:\Program Files\Uniblue\SpeedUpMyPC\spmonitor.exe Win32/SpeedUpMyPC application cleaned by deleting - quarantined

C:\Program Files\Uniblue\SpeedUpMyPC\spnotifier.exe Win32/SpeedUpMyPC application cleaned by deleting - quarantined

C:\Program Files\Uniblue\SpeedUpMyPC\sp_move_serial.exe Win32/SpeedUpMyPC application cleaned by deleting - quarantined

C:\Program Files\Uniblue\SpeedUpMyPC\sump.exe Win32/SpeedUpMyPC application cleaned by deleting - quarantined

C:\Program Files\Unlocker\unlocker_unlocker_1.9.1_32_bits_francais_20237.exe Win32/Adware.ADON application deleted - quarantined

C:\System Volume Information\_restore{4C3DEB68-C8D1-4D9D-8206-957BBF297D28}\RP243\A0091339.exe Win32/RegistryBooster application cleaned by deleting - quarantined

C:\System Volume Information\_restore{4C3DEB68-C8D1-4D9D-8206-957BBF297D28}\RP243\A0091340.exe Win32/RegistryBooster application cleaned by deleting - quarantined

C:\System Volume Information\_restore{4C3DEB68-C8D1-4D9D-8206-957BBF297D28}\RP243\A0091341.exe Win32/RegistryBooster application cleaned by deleting - quarantined

C:\System Volume Information\_restore{4C3DEB68-C8D1-4D9D-8206-957BBF297D28}\RP243\A0091342.exe Win32/RegistryBooster application cleaned by deleting - quarantined

C:\System Volume Information\_restore{4C3DEB68-C8D1-4D9D-8206-957BBF297D28}\RP243\A0091343.exe Win32/RegistryBooster application cleaned by deleting - quarantined

C:\System Volume Information\_restore{4C3DEB68-C8D1-4D9D-8206-957BBF297D28}\RP243\A0091344.exe Win32/RegistryBooster application cleaned by deleting - quarantined

C:\System Volume Information\_restore{4C3DEB68-C8D1-4D9D-8206-957BBF297D28}\RP244\A0091402.exe Win32/RegistryBooster application deleted - quarantined

C:\System Volume Information\_restore{4C3DEB68-C8D1-4D9D-8206-957BBF297D28}\RP284\A0096140.exe Win32/Adware.ADON application deleted - quarantined

C:\System Volume Information\_restore{4C3DEB68-C8D1-4D9D-8206-957BBF297D28}\RP291\A0097832.exe Win32/Adware.ADON application deleted - quarantined

C:\System Volume Information\_restore{4C3DEB68-C8D1-4D9D-8206-957BBF297D28}\RP300\A0102389.exe Win32/SpeedUpMyPC application deleted - quarantined

C:\System Volume Information\_restore{4C3DEB68-C8D1-4D9D-8206-957BBF297D28}\RP300\A0102390.exe Win32/SpeedUpMyPC application cleaned by deleting - quarantined

C:\System Volume Information\_restore{4C3DEB68-C8D1-4D9D-8206-957BBF297D28}\RP300\A0102391.exe Win32/SpeedUpMyPC application cleaned by deleting - quarantined

C:\System Volume Information\_restore{4C3DEB68-C8D1-4D9D-8206-957BBF297D28}\RP300\A0102392.exe Win32/SpeedUpMyPC application cleaned by deleting - quarantined

C:\System Volume Information\_restore{4C3DEB68-C8D1-4D9D-8206-957BBF297D28}\RP300\A0102393.exe Win32/SpeedUpMyPC application cleaned by deleting - quarantined

C:\System Volume Information\_restore{4C3DEB68-C8D1-4D9D-8206-957BBF297D28}\RP300\A0102394.exe Win32/SpeedUpMyPC application cleaned by deleting - quarantined

C:\System Volume Information\_restore{4C3DEB68-C8D1-4D9D-8206-957BBF297D28}\RP300\A0102395.exe Win32/Adware.ADON application deleted - quarantined