[Résolu] Infection PC par le ver Win32:Tenga

wOOnder · le 31 juillet 2011

Ad-Report-CLEAN pas d'autre rapport trouvé

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:37:02 le 31/07/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)

wOOnder@STEIG ( )

============== ACTION(S) ==============

(!) -- Fichiers temporaires supprimés.

============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [5.0 (fr)] ****

HKLM_MozillaPlugins\Adobe Reader (x)

HKCU_MozillaPlugins\@Skype Limited.com/Facebook Video Calling Plugin (x)

Searchplugins\bing.xml ( hxxp://www.bing.com/search)

Components\browsercomps.dll (Mozilla Foundation)

HKLM_Extensions|fmdownloader@gmail.com - C:\Program Files\Freemake\Freemake Video Downloader\BrowserPlugin\Firefox\

-- C:\Documents and Settings\wOOnder\Application Data\Mozilla\FireFox\Profiles\nahd6ha2.default --

Extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} (Free YouTube Download (Free Studio) Menu)

Prefs.js - browser.download.dir, C:\\Documents and Settings\\wOOnder\\Mes documents\\Downloads

Prefs.js - browser.search.selectedEngine, DAEMON Search

Prefs.js - browser.startup.homepage, hxxp://my.daemon-search.com/|hxxps://www.google.ch

Prefs.js - browser.startup.homepage_override.buildID, 20110615151330

Prefs.js - browser.startup.homepage_override.mstone, rv:5.0

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896

HKCU_Main|Start Page - hxxp://fr.msn.com/

HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm

HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Start Page - hxxp://fr.msn.com/

HKCU_SearchScopes\Yandex - "?" (?)

HKLM_SearchScopes\Yandex - "??????" (hxxp://yandex.ru/yandsearch?clid=154468&text={searchTerms})

HKCU_Toolbar\WebBrowser|{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} (C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll)

HKCU_Toolbar\WebBrowser|{32099AAC-C132-4136-9E9A-4E364A424E17} (x)

HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)

HKLM_Toolbar|{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} (C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll)

HKCU_ElevationPolicy\{0DF1ABD2-D97D-4F99-948C-B2D9EECC2728} - C:\Documents and Settings\wOOnder\Local Settings\Application Data\Yandex\Updater\yupdate-executor.exe (x)

HKCU_ElevationPolicy\{1024F1BE-76DC-40d5-AB98-664A4185E5FA} - C:\Documents and Settings\wOOnder\Local Settings\Application Data\Facebook\Video\Skype\FacebookVideoCalling.exe (Skype Limited)

HKLM_ElevationPolicy\{1024F1BE-76DC-40d5-AB98-664A4185E5FA} - C:\Documents and Settings\wOOnder\Local Settings\Application Data\Facebook\Video\Skype\FacebookVideoCalling.exe (Skype Limited)

HKLM_ElevationPolicy\{2A0EA005-2174-48A6-9F2B-9A853BA9767E} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll (x)

HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)

BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 31/07/2011 17:37:05 (474 Octet(s))

C:\Ad-Report-SCAN[1].txt - 31/07/2011 17:35:04 (3915 Octet(s))

Fin à: 17:37:48, 31/07/2011

============== E.O.F ==============

wOOnder · le 31 juillet 2011

Rapport de ZHPFix 1.12.3345 par Nicolas Coolman, Update du 29/07/2011

Fichier d'export Registre :

Run by wOOnder at 31.07.2011 17:59:24

Windows XP Professional Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

========== Dossier(s) ==========

SUPPRIME Folder*: C:\Program Files\Fichiers Communs\Plasmoo

ABSENT C:\Documents and Settings\wOOnder\Local Settings\Application Data\Conduit

========== Fichier(s) ==========

ABSENT Folder/File: c:\documents and settings\woonder\application data\pricegong => infection bt (adware.pricegong)

========== Autre ==========

NON TRAITE O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (mipony-plugin Customized Web Search) - http://search.conduit.com

NON TRAITE [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]

NON TRAITE [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}

NON TRAITE C:\Documents and Settings\wOOnder\Local Settings\Application Data\Conduit

========== Récapitulatif ==========

2 : Dossier(s)

1 : Fichier(s)

4 : Autre

========== Chemin du fichier rapport ==========

C:\Program Files\ZHPDiag\ZHPFixReport.txt

End of the scan in 00mn 42s

wOOnder · le 31 juillet 2011

donc si je comprends bien avec MBAM je dois faire 2 scans ? un pour checker l'autre pour nettoyer ?

pear · le 31 juillet 2011

Oui,C'est bien cela.

Télécharger sur le bureauOTM by OldTimer .

Double-clic sur OTM.exe pour le lancer.

Sous Vista,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur

Dans le cadre gauche, "Paste Instructions...."

* Copiez /Collez les lignes ci dessous) en vert:

:Files

C:\Documents and Settings\wOOnder\Local Settings\Application Data\Conduit

:Reg

[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]

[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]

"{32099aac-c132-4136-9e9a-4e364a424e17}"=-

:Commands

[purity]

[emptytemp]

[Reboot]

Revenez dans OTM,

Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).

* Click le bouton rouge Moveit!

* Fermez OTM

Votre Pc va redémarrer.

Rendez vous dans le dossier C:\_OTM\MovedFiles ,

ouvrez le dernier fichier .log

Copiez/collez en le contenu dans votre prochaine réponse

[/color]

wOOnder · le 31 juillet 2011

je vais attendre d'en avoir terminé avec MBAM avant de m'occuper d'OTM, déjà un fichier infecté de trouvé après une cinquantaine de minutes de scan

wOOnder · le 31 juillet 2011

voilà le scan est terminé mais je ne trouve pas le *.log sur mon dd

maintenant je fais l'OTM ou le nettoyage (je n'ai pas oublié que je dois faire un second scan) ?

vous me disiez plus haut que ad-aware est désuet mais MBAM est-il un service qui scan mon système en permanence comme le fait lavasoft ?

wOOnder · le 31 juillet 2011

All processes killed

========== FILES ==========

File/Folder C:\Documents and Settings\wOOnder\Local Settings\Application Data\Conduit not found.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{32099aac-c132-4136-9e9a-4e364a424e17} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099aac-c132-4136-9e9a-4e364a424e17}\ not found.

========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService

->Temp folder emptied: 66016 bytes

->Temporary Internet Files folder emptied: 33186 bytes

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33253 bytes

User: wOOnder

->Temp folder emptied: 24093206 bytes

->Temporary Internet Files folder emptied: 8283657 bytes

->Java cache emptied: 469932 bytes

->FireFox cache emptied: 48780689 bytes

->Google Chrome cache emptied: 350551267 bytes

->Flash cache emptied: 2873263 bytes

User: wOOnder.STEIG

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2351795 bytes

%systemroot%\System32 .tmp files removed: 4528640 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 483 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 602207 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

RecycleBin emptied: 0 bytes

Total Files Cleaned = 422.00 mb

OTM by OldTimer - Version 3.1.18.0 log created on 07312011_224453

Files moved on Reboot...

Registry entries deleted on Reboot...

pear · le 1 août 2011

MBAM est-il un service qui scan mon système en permanence comme le fait lavasoft

Pas la version Free, mais ce n'est qu'un moindre inconvénient auprès de son efficacité face à Ad_Aware

wOOnder · le 1 août 2011

Bonjour,

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org

Version de la base de données: 7341

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

01.08.2011 13:51:12

mbam-log-2011-08-01 (13-51-12).txt

Type d'examen: Examen complet (C:\|D:\|E:\|O:\|P:\|Q:\|)

Elément(s) analysé(s): 426969

Temps écoulé: 4 heure(s), 35 minute(s), 22 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 24

Processus mémoire infecté(s):