Aller au contenu
leminou

[Résolu] Mon préservatif devait-être percé

Messages recommandés

Bonjour,

 

Je viens de lancer ZHPDiag comme je le fais de temps en temps et... surprise, devinez qui s'est invité.

 

N'ayant pas réussi à coller le rapport chez ci-joint le fichier s'affichait sans l'extension .TXT) j'en ai fait un extrait...

 

EDIT: voici le lien CIJOINT

 

Extrait du rapport de ZHPDiag

 

PROCESSUS MALWARE (Rootkit, trojan, ver, spyware, adware,...)

O2 - BHO: Complitly - {0FB6A909-6086-458F-BD92-1F8EE10042A0} . (.SimplyGen - Complitly - Helps you search the web.) -- C:\Documents and Settings\dD\Application Data\Complitly\Complitly.dll

[HKLM\Software\Classes\suggestmeyes.suggestmeyesbho]

[HKLM\Software\Classes\suggestmeyes.suggestmeyesbho.1]

[HKLM\Software\Classes\TypeLib\{01bcb858-2f62-4f06-a8f4-48f927c15333}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]

[HKLM\Software\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]

[HKLM\Software\Classes\AppID\{442f13bc-2031-42d5-9520-437f65271153}]

[HKLM\Software\Classes\Interface\{c9ae652b-8c99-4ac2-b556-8b501182874e}]

Si ça ne suffit pas, je peux coller l’ensemble mais ça fait long.

 

Un passage de Malwarebyte n'a rien trouvé, mon Av non plus !

 

Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org

 

Version de la base de données: 8034

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

28/10/2011 17:50:16 mbam-log-2011-10-28 (17-50-16).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|I:\|)

Elément(s) analysé(s): 321108 - Temps écoulé: 1 heure(s), 31 minute(s), 47 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Merci pour la conduite à suivre, J'aurai bien tenté le dévérolage mais je n'ai pas osé :roll: j'aurai été tenté de supprimer la DLL Complitly.dll, ainsi que toutes les clés citées de la BdR, c'était bon ?

Modifié par leminou

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir leminou :D

 

  • Télécharger
DeFogger de Jpshortstuff sur le bureau.
Double cliquer sur DeFogger pour démarrer l'outil.
Pour Vista et seven
fais un clique droit sur l'icône et exécute en tant qu'administrateur.
La fenêtre de DeFogger apparaît
Cliquer sur le bouton Disable pour désactiver les pilotes d'émulateurs CD.
Cliquer sur Yes pour continuer.
Un message 'Finished!' apparaîtra
Cliquer sur OK
DeFogger peut te demander de redémarrer la machine Clique sur OK
Ne réactive PAS ces pilotes avant la fin de la désinfection

 

 

  • Ferme toutes les applications ouvertes
  • Désactive tes défenses (anti-virus -anti-spyware)
  • Double-clique sur ZHPFix
    zhpfix.jpg
    Un raccourci installé par ZHPDiag sur le Bureau
     
    Sélectionne et surligne correctement avec la souris et "Clique droit > "Copier" ou "Ctrl+C"
    ces lignes ci dessous :
    [HKLM\SYSTEM\CurrentControlSet\Services] wscsvc : Modified
    O2 - BHO: Complitly - {0FB6A909-6086-458F-BD92-1F8EE10042A0} . (.SimplyGen - Complitly - Helps you search the web.) -- C:\Documents and Settings\dD\Application Data\Complitly\Complitly.dll
    O41 - Driver: (UimBus) . (. - .) - C:\WINDOWS\system32\DRIVERS\UimBus.sys (.not file.)
    O41 - Driver: (Uim_IM) . (. - .) - C:\WINDOWS\system32\Drivers\Uim_IM.sys (.not file.)
    O42 - Logiciel: Complitly - (.Complitly.) [HKLM] -- {4FFBB818-B13C-11E0-931D-B2664824019B}_is1
    [HKCU\Software\Complitly]
    [HKCU\Software\Panda Security]
    [HKLM\Software\Panda Security]
    [HKLM\Software\Panda Software]
    O42 - Logiciel: Panda USB Vaccine 1.0.1.4 - (.Panda Security.) [HKLM] -- {55A41219-9B22-4098-BAE7-AE289B3C569A}_is1
    O43 - CFD: 21/10/2011 - 15:21:40 - [780577] ----D- C:\Program Files\Complitly
    O51 - MPSK:{5631f2a5-6a46-11de-94d4-e414f4a42d4a}\AutoRun\command. (...) -- C:\WINDOWS\system32\lhdtgtbnp.exe (.not file.)
    O64 - Services: CurCS - ??/??/???? - G:\CDriver.sys (.not file.) - MSICDSetup (MSICDSetup) .(...) - LEGACY_MSICDSETUP
    [HKLM\Software\Classes\suggestmeyes.suggestmeyesbho]
    [HKLM\Software\Classes\suggestmeyes.suggestmeyesbho.1]
    [HKLM\Software\Classes\TypeLib\{01bcb858-2f62-4f06-a8f4-48f927c15333}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
    [HKLM\Software\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
    [HKLM\Software\Classes\AppID\{442f13bc-2031-42d5-9520-437f65271153}]
    [HKLM\Software\Classes\Interface\{c9ae652b-8c99-4ac2-b556-8b501182874e}]
     
    FirewallRAZ
    EmptyTemp
    EmptyFlash
  • Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) icone-H.jpg puis sur l'icône de la "malette cachée par la feuille" malette-cachee.jpg .
     
  • Vérifie que toutes les lignes que je t'ai demandé de copier sont dans la fenêtre.
  • Et seulement ces lignes
  • Puis clique sur le bouton [OK]
  • A ce moment apparaîtra au début de chaque ligne
    une petite case vide. [ ]
  • Ensuite clique sur Tous puis sur Nettoyer
  • Valide par Oui la désinstallation des programmes si demandé
  • Laisse l'outil travailler. Si un redémarrage est demandé accepte et redémarre le PC
  • Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
     
    Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

 

  • Télécharge Sur cette page AdwCleaner de Xplode
    adwcleaner_1-2cc7b00.jpg
    clique sur Télécharger et enregistre le fichier sur ton Bureau
     
  • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
    /!\ Sous Vista et Windows 7
    il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
     
  • Sur le menu principal
    clique sur Suppression et patiente le temps de l'analyse
    110906042614938066.jpg
  • A la fin du scan
    un rapport AdwCleaner[R].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
    Le rapport se trouve sous C:\AdwCleaner[R].txt

 

A+

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour (cousin) tomtom95,

 

Merci pour ton intervention :) j'ai exécuté les deux programmes et voici le log de AdwCleaner

 

# AdwCleaner v1.315 - Rapport créé le 29/10/2011 à 07:55:35

# Mis à jour le 27/10/11 à 14h par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : dD - PC1 (Droits Limités)

# Exécuté depuis : C:\Documents and Settings\dD\Bureau\adwcleaner0.exe

# Option [suppression]

***** [KillNav] *****

# firefox.exe [PID:2140] -> Tué

***** [Processus] *****

***** [services] *****

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [Registre] *****

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[s1].txt - [748 octets] - [29/10/2011 07:55:35]

*************************

Dossier Temporaire : 6 dossier(s)et 4 fichier(s) supprimés

########## EOF - C:\AdwCleaner[s1].txt - [966 octets] ##########

et celui de ZHPFix

 

Rapport de ZHPFix 1.12.3361 par Nicolas Coolman, Update du 06/09/2011

Fichier d'export Registre :

Run by dD at 29/10/2011 07:44:30

Windows XP Professional Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

 

========== Logiciel(s) ==========

SUPPRIME O42 - Logiciel: Complitly - (.Complitly.) [HKLM] -- {4FFBB818-B13C-11E0-931D-B2664824019B}_is1

SUPPRIME O42 - Logiciel: Panda USB Vaccine 1.0.1.4 - (.Panda Security.) [HKLM] -- {55A41219-9B22-4098-BAE7-AE289B3C569A}_is1

========== Clé(s) du Registre ==========

ABSENT Key: CLSID BHO: {0FB6A909-6086-458F-BD92-1F8EE10042A0}

SUPPRIME Driver Key: UimBus

SUPPRIME Driver Key: Uim_IM

SUPPRIME Key: HKCU\Software\Complitly

ABSENT Key: HKCU\Software\Panda Security

ABSENT Key: HKLM\Software\Panda Security

SUPPRIME Key: HKLM\Software\Panda Software

SUPPRIME CLSID MPSK: {5631f2a5-6a46-11de-94d4-e414f4a42d4a}

ABSENT Key: Service Legacy: LEGACY_MSICDSETUP

ABSENT Key: HKLM\Software\Classes\suggestmeyes.suggestmeyesbho

ABSENT Key: HKLM\Software\Classes\suggestmeyes.suggestmeyesbho.1

ABSENT Key: HKLM\Software\Classes\TypeLib\{01bcb858-2f62-4f06-a8f4-48f927c15333}

SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}

SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}

ABSENT Key: HKLM\Software\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}

ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}

ABSENT Key: HKLM\Software\Classes\AppID\{442f13bc-2031-42d5-9520-437f65271153}

ABSENT Key: HKLM\Software\Classes\Interface\{c9ae652b-8c99-4ac2-b556-8b501182874e}

 

========== Valeur(s) du Registre ==========

ABSENT Value Key: wscsvc

SUPPRIME FirewallRaz (SP) : C:\Program Files\Microsoft ActiveSync\rapimgr.exe

SUPPRIME FirewallRaz (SP) : C:\Program Files\Microsoft ActiveSync\wcescomm.exe

SUPPRIME FirewallRaz (SP) : C:\Program Files\Microsoft ActiveSync\WCESMgr.exe

SUPPRIME FirewallRaz (DP) : C:\Program Files\Microsoft ActiveSync\rapimgr.exe

SUPPRIME FirewallRaz (DP) : C:\Program Files\Microsoft ActiveSync\wcescomm.exe

SUPPRIME FirewallRaz (DP) : C:\Program Files\Microsoft ActiveSync\WCESMgr.exe

Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

 

========== Dossier(s) ==========

SUPPRIME Folder: C:\Program Files\Complitly

SUPPRIME Temporaires Windows: : 90

SUPPRIME Flash Cookies: 0

 

========== Fichier(s) ==========

ABSENT File: c:\documents and settings\dd\application data\complitly\complitly.dll

SUPPRIME Temporaires Windows: : 70

SUPPRIME Flash Cookies: 0

 

========== Récapitulatif ==========

18 : Clé(s) du Registre

8 : Valeur(s) du Registre

3 : Dossier(s)

3 : Fichier(s)

2 : Logiciel(s)

 

End of clean in 00mn 12s

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 29/10/2011 07:44:30 [2952]

Un nouveau passage de ZHPDiag montre un PC net :) le log ICI si tu en as besoin.

 

Pour ce qui est des lignes supprimées ActiveSync\* cela ne va-t-il pas gêner la connexion de mon PDA et GPS ?

 

Je peux virer les programmes installés sur le bureau et les logs maintenant ?

 

Merci pour le coup de main, bonne journée, Dom.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour leminou (grand cousin :ptdr: )

 

ActiveSync est toujour actif sur ton pc ,ce n'est que dans les entrées inutile dans le par-feu. ;)

 

Par contre je suppose que tu as désactiver dans le gestionnaire des services

le service centre de sécurité,ou la mises a jour automatique ?

[HKLM\SYSTEM\CurrentControlSet\Services] wscsvc : Modified

Ton antivirus est bien actif,et le par-feu aussi ?

Vérifie aussi que les services:

Appel de procédure distante

Infrastructure de gestion Windows

Sont démarrer ,et automatique . :D

 

Oui on désinstalle les outils.

  • Télecharge sur le site
DelFix(de Xplode) sur ton Bureau
 
Choisis l'option "Recherche"
Valide sur Entrée
Laisse travailler l'outil
Copie/colle le rapport obtenu
 
Relance Delfix
 
Choisis l'option "Suppression"
Valide sur Entrée
Laisse travailler l'outil
Copie/colle le rapport obtenu

Supprime DelFix ainsi que les autres outils restant éventuellement sur le bureau.

 

  • Tu va supprimer tes anciennes points de sauvegarde du pc :
    Après une désinfection
    il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés.
  • Clique sur le bouton démarrer faîtes un clique droit sur "poste de travail" puis clique sur "Propriétés" :
  • Clique ensuite sur l'onglet "Restauration système
     
  • Coche la cases désactiver la restauration du système :
  • Une alerte t'informera que tous les points vont être supprimés. Clique sur « désactiver la restauration système ».
  • Clique sur appliquer ,et ok
  • Pour réactiver la restauration système
    il suffit de décocher à nouveau la cases du lecteur.
  • Ensuite Créer un nouveau point de restauration sain

 

Mets a jour:

Flash player 11 ( décoche avant le téléchargement la case de la barre google)

http://get.adobe.com/fr/flashplayer/

 

Si tu as pas de questions,Marque ton sujet comme résolu :super:

http://forum.zebulon.fr/comment-afficher-son-sujet-comme-resolu-t180253.html

 

A+ sur les forums Zeb.

Partager ce message


Lien à poster
Partager sur d’autres sites

Les réponses...

 

ActiveSync est toujour actif sur ton pc ,ce n'est que dans les entrées inutile dans le par-feu. ;)

OK

 

Par contre je suppose que tu as désactiver dans le gestionnaire des services

le service centre de sécurité,ou la mises a jour automatique ?

Oui pour le centre de sécurité, non pour la MAJ

 

Ton antivirus est bien actif,et le par-feu aussi ?

Oui pour les deux

 

Vérifie aussi que les services:

Sont démarrer ,et automatique . :D

Appel de procédure distante - Oui

Infrastructure de gestion Windows - Manuel, Démarré

 

Oui on désinstalle les outils.

  • Télecharge sur le site
DelFix(de Xplode) sur ton Bureau

C'est fait, un peu de mal à cause de l'AV qui ne voulait rien savoir...

 

[*]Choisis l'option "Recherche"

[*]Copie/colle le rapport obtenu

 

# DelFix v8.6 - Rapport créé le 29/10/2011 à 17:34:26

# Mis à jour le 13/10/11 à 18h par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : dD - PC1 (Administrateur)

# Exécuté depuis : C:\Documents and Settings\dD\Bureau\DelFix.exe

# Option [Recherche]

~~~~~~ Dossiers(s) ~~~~~~

Présent : C:\ZHP

~~~~~~ Fichier(s) ~~~~~~

Présent : C:\AdwCleaner[s1].txt

Présent : C:\PhysicalDisk0_MBR.bin

Présent : C:\PhysicalDisk0_MBR_Barracuda500.bin

Présent : C:\Documents and Settings\dD\Bureau\adwcleaner0.exe

Présent : C:\Documents and Settings\dD\Bureau\AdwCleaner[s1].txt

Présent : C:\Documents and Settings\dD\Bureau\Defogger.exe

Présent : C:\Documents and Settings\dD\Bureau\defogger_disable.log

Présent : C:\Documents and Settings\dD\Bureau\ZHPDiag.txt

Présent : C:\Documents and Settings\dD\Bureau\ZHPFixReport.txt

~~~~~~ Registre ~~~~~~

Clé Présente : HKLM\SOFTWARE\AdwCleaner

~~~~~~ Autres ~~~~~~

*************************

DelFix[R1].txt - [1015 octets] - [29/10/2011 17:34:26]

########## EOF - C:\DelFix[R1].txt - [1139 octets] ##########

Relance Delfix

[*]Choisis l'option "Suppression"

 

# DelFix v8.6 - Rapport créé le 29/10/2011 à 17:36:17

# Mis à jour le 13/10/11 à 18h par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : dD - PC1 (Administrateur)

# Exécuté depuis : C:\Documents and Settings\dD\Bureau\DelFix.exe

# Option [suppression]

~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[s1].txt

Supprimé : C:\PhysicalDisk0_MBR.bin

Supprimé : C:\PhysicalDisk0_MBR_Barracuda500.bin

Supprimé : C:\Documents and Settings\dD\Bureau\adwcleaner0.exe

Supprimé : C:\Documents and Settings\dD\Bureau\AdwCleaner[s1].txt

Supprimé : C:\Documents and Settings\dD\Bureau\Defogger.exe

Supprimé : C:\Documents and Settings\dD\Bureau\defogger_disable.log

Supprimé : C:\Documents and Settings\dD\Bureau\ZHPDiag.txt

Supprimé : C:\Documents and Settings\dD\Bureau\ZHPFixReport.txt

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[R1].txt - [1136 octets] - [29/10/2011 17:34:26]

DelFix[s1].txt - [1102 octets] - [29/10/2011 17:36:17]

########## EOF - C:\DelFix[s1].txt - [1226 octets] ##########

 

  • Tu va supprimer tes anciennes points de sauvegarde du pc : C'est fait

 

Mets a jour: Flash player 11 C'est en cours...

 

A+ sur les forums Zeb. Avec plaisir, mais pas dans cette section :tsss: Je passe en résolu

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×