[Résolu] Win32/Gaelicum.A récurent depuis 1 mois

[ladcandide]

Et donc le rapport ZHP : Lien CJoint.com BAxusE1kaFq

 

Ce soir je ne peux pas rester plus.

A demain et merci encore.

 

[tomtom95]

On commence avoir plus clair

 

• Ferme toutes les applications ouvertes
  
• Désactive tes défenses (anti-virus et anti-spyware)
  
• Double-clique sur ZHPFix Un raccourci installé par ZHPDiag sur le Bureau
   
  Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur
  
   
   
  Sélectionne et surligne correctement avec la souris et "Clique droit > "Copier"
  ces lignes ci dessous :
   

  O2 - BHO: WormRadar.com IESiteBlocker.NavFilter [64Bits] - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} Clé orpheline
  [MD5.ADE0781663E96BB6F7602C2243078CFB] [APT] [Redemarrer] (...) -- D:\Temp\Redemarrer.bat
  HKCU\Software\ESET]
  O43 - CFD: 23/01/2012 - 23:16:52 - [0,060] ----D- C:\ProgramData\AVG2012
  O43 - CFD: 26/12/2011 - 16:44:36 - [0,012] ----D- C:\Users\NAS\AppData\Roaming\AVG2012
  O43 - CFD: 23/01/2012 - 00:45:06 - [2,401] ----D- C:\Users\NAS\AppData\Roaming\uTorrent
  O43 - CFD: 26/12/2011 - 16:37:54 - [0,085] ----D- C:\Program Files (x86)\AVG
  O43 - CFD: 22/01/2012 - 23:20:30 - [1,250] ----D- C:\Program Files (x86)\ESET
  O45 - LFCP:[MD5.D7852485ED926B4DC3254573F0C7FA94] - 23/01/2012 - 22:43:29 ---A- - C:\Windows\Prefetch\WINUPGRO.EXE-C12B80B5.pf
  O53 - SMSR:HKLM\...\startupreg\eMuleAutoStart [Key] . (...) -- D:\eMule\emule.exe (.not file.)
  O61 - LFC:Last File Created 22/01/2012 - 21:36:41 ---A- C:\Users\NAS\AppData\Roaming\uTorrent\dht.dat.old [1492]
  O61 - LFC:Last File Created 22/01/2012 - 21:36:41 ---A- C:\Users\NAS\AppData\Roaming\uTorrent\rss.dat.old [99]
  O61 - LFC:Last File Created 22/01/2012 - 22:13:46 ---A- C:\Users\NAS\AppData\Roaming\uTorrent\resume.dat.old [111572]
  O61 - LFC:Last File Created 22/01/2012 - 22:14:14 ---A- C:\Users\NAS\AppData\Roaming\uTorrent\dht.dat [1492]
  O61 - LFC:Last File Created 22/01/2012 - 22:14:14 ---A- C:\Users\NAS\AppData\Roaming\uTorrent\resume.dat [110838]
  O61 - LFC:Last File Created 22/01/2012 - 22:14:14 ---A- C:\Users\NAS\AppData\Roaming\uTorrent\rss.dat [99]
  O61 - LFC:Last File Created 23/01/2012 - 00:44:59 ---A- C:\Users\NAS\AppData\Roaming\uTorrent\settings.dat.old [9668]
  O61 - LFC:Last File Created 23/01/2012 - 00:45:05 ---A- C:\Users\NAS\AppData\Roaming\uTorrent\settings.dat [9642]
  O61 - LFC:Last File Created 23/01/2012 - 19:04:10 ---A- C:\Users\All Users\AVG2012\fet\d684d01184cff1d3.dat [50108]
  O61 - LFC:Last File Created 23/01/2012 - 21:24:01 ---A- C:\Users\NAS\AppData\Roaming\AVG2012\cfgall\userawacs.cfg [11868]
  O61 - LFC:Last File Created 23/01/2012 - 22:37:40 ---A- C:\Users\All Users\AVG2012\fet\66e8036a66e8036a.dat [156]
  O61 - LFC:Last File Created 23/01/2012 - 22:39:05 ---A- C:\Users\All Users\AVG2012\fet\90261a6590261a65.dat [118]
  O61 - LFC:Last File Created 23/01/2012 - 22:40:01 ---A- C:\Users\All Users\AVG2012\fet\44310dda44310dda.dat [136]
  E:\Telechargement\Softwares\MULTIMEDIA\CopyPod.v8.30.FR.Incl-Keygen.rar
  [MD5.C48F93BAE51976E9D59C21EE29E40DF4] [sPRF][24/01/2012] (...) -- C:\Users\NAS\Desktop\vcleaner.exe [140288]
   
  EmptyFlash
  EmptyTemp
  

• Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la "malette cachée par la feuille" .
   
  
• Vérifie que toutes les lignes que je t'ai demandé de copier sont dans la fenêtre.
  
• Et seulement ces lignes
  
• Puis clique sur le bouton [OK]
  
• A ce moment apparaîtra au début de chaque ligne
  une petite case vide. [ ]
  
• Ensuite clique sur Tous puis sur Nettoyer
  
• Valide par Oui la désinstallation des programmes si demandé
  
• Laisse l'outil travailler. Si un redémarrage est demandé accepte et redémarre le PC
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
   
  Le rapport ZHPFixReport.txt est enregistré sur le bureau[/b]

 

 

Tu vas utiliser Combofix

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

• Télécharge
  Combofix sUBs sur ton Bureau et pas ailleurs
  Lien 2
   
  /!\ IMPORTANT /!\
  Désactive ton Antivirus
  anti-Malware et Pare feu avant le scan avec Combofix :
  
• fermez toutes les fenêtres et autres logiciels ouverts ;
   
   
  
• Branche tes supports externes sur le pc (Clé USB-Disque Dur-etc..)
  Allumé Sans les ouvrirs avant de procéder.
   
  
• Ensuite double clique sur Combofix.exe Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur.
   
  Accepte la licence d'utilisation et laisse toi guider.
   
  (SOUS WINDOWS XP :installe la console de récupération comme cela est conseillé répond yes (oui a chaque fois )
  
• Lorsque la console est installer.
   
  
• Il est possible que ton pare-feu te demande
  si tu acceptes ou non l'accès de nircmd.cfexe : accepte.
  
• Clique sur Oui/Yes
  pour poursuivre avec la recherche de nuisibles.
   
  Puis laissez le logiciel travailler
  
• IMPORTANT ne clique sur rien pendant exécution de l'analyse
  
• Clique seulement sur ce que demande ComboFix
  
• Lorsque l'analyse sera terminée
  un rapport apparaîtra.
  Copie-colle ce rapport dans ta prochaine réponse
  
• le rapport est sauvegardé à la racine du disque C:\ComboFix.txt poste le rapport

 

A+

[ladcandide]

OK, tu as raison, Combofix c'est vraiment brutal !

 

Le rapport ZHPFix

Le rapport ComboFix

 

Si cela ne te prend pas trop de temps, je veux bien que tu m'expliques tout ce que l'on a fait ?

Je ne suis pas vraiment novice dans cette matière

 

Au fait j'ai été obligé de rebooter à la fin de ComboFix, il ne retrouvait aucune clé registre...

 

Maintenant, je suis sans AV et sans FW, je me permets de réactiver le FW !

 

usbfix n'a pas trouvé les 5 autres khq... je les vois là !

Je ne fais rien, mais ce n'est pas l'envie qui me manque

 

@+

[tomtom95]

Bonjour ladcandide

 

On fait un résumer a la fin si cela ne t'embête pas.

Je pense que tu veux réinstaller antivirus AVG par la suite ? ou un autre antivirus ?

 

Voici les étapes restante:

Un script de combofix

Scanne avec Malwarebyte

Scanne antivirus en ligne

Post stp a chaque fois le rapport

 

 

/!\Le script qui suit a été écrit spécialement pour cet ordinateur/!\

 

Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)

Copie/colle dans le bloc-notes toutes les lignes ci dessous

 

KillAll::

 

RegLock::

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

 

File::

C:\$AVG

Dans la fenêtre d'enregistrement choisis le bureau comme destination (et pas ailleurs !)

Dans type Choisis "tous les fichiers"

Dans nom du fichier tape CFScript.txt

Ensuite cliques sur enregistrer et fermes le document texte.

 

Tu va Faire un glisser/déposer (clique-gauche enfoncé sur CFScrit.txt sur le fichier ComboFix.exe comme sur cette capture

 

Patiente le temps du scanne.

Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scanne n'est pas terminé.

Une fois le scanne est achevé

un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas

tu va le trouve ici > C:\ComboFix.txt

 

***********************************************************

 

 

• Télécharge la dernier version

MalwareByte's sur ton Bureau.
 
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
Pour l'installation Choisir la version gratuit,et non celle d'essai pro
Une fois l'installation et la mise à jour effectuées :
 
Branche tes supports externes sur le pc (Clé USB,Disque Dur,etc..)
Allumé Sans les ouvrirs
Exécute maintenant MalwareByte's Anti-Malware.
 
Sélectionne "Exécuter un examen complet".
Afin de lancer la recherche clique sur"Rechercher".
Coche toutes les cases de tes lecteurs
Une fois le scan terminé une fenêtre s'ouvre clique sur OK.
 
Si des infections sont présentes
Clique sur "Afficher les résultats" puis sur "Supprimer la sélection".
Enregistre le rapport sur ton Bureau.
poste le rapport dans ta prochaine réponse.
 
REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression accepte en cliquant sur Ok.

 

*************************************************************

• 
  Scan en ligne avec F-Secure
   
  Pour effectuer un scanne en ligne avec F-Secure
  

Scan en ligne avec F-Secure Accepte les termes de la licence
Puis clique [Lancer la recherche]
Accepter l’exécution de l’applet Java
 
F-Secure s’installe.
choisir le type de scanne (Analyse compléte)
Clique en bas sur le bouton Démarrer pour lancer le scanne.
 
Une fois le scanne effectué
si des éléments sont détectés
Il te seront signaler.
Laisser la désinfection en Automatique.
Cliquer sur le bouton Suivant pour passer à l’étape suivante.
 
Tu auras une icône verte si la désinsfection a réussi
Un bouton en bas à gauche Rapport complet est alors disponible
 
Post le rapport stp

 

A+

[ladcandide]

Voilà pour ComboFix : Lien CJoint.com BAysSJl7uh9

 

[tomtom95]

Je vais regarder en détaille le rapport

 

Avant MBAM passe cette outil stp

 

Télécharge . MyHosts.exe ( par Jeanmimigab ) sur ton bureau

Double-clique sur l'icône de MyHosts qui se trouve sur ton bureau.

Pour vista et seven fais un clique droit Exécuter en tant qu'administrateur

Le rapport " MyHosts.txt " s'ouvre

Copie son contenu et poste-le sur le forum.

Tu peux le retrouver à la racine de ton disque système (C:\MyHosts.txt)

 

 

C'est bien

 

Suppression de combofix

Clique sur démarrer >> dans recherche de windows et tape Combofix /uninstall

Valide avec [entrée]

Cela va désinstaller proprement Combofix.

 

A+

Modifié le 24 janvier 2012 par tomtom95

[ladcandide]

trop tard, MBAM tourne déjà depuis 33 minutes...

 

et il a trouvé 19 éléments pour l'instant

 

Je ferai MyHost juste apres

[ladcandide]

Rapport MBAM : Lien CJoint.com BAyuDRktwa7

 

 

RAPPORT mYhOST :*

 

** Rapport MyHosts.txt **

 

MyHosts V.1.0.0.2 de jeanmimigab

 

Merci à la team MH, W-T ,C_XX, Laddy et à Batch_man pour leurs aides

 

Résultat de l'opération:restauration du fichier hosts réussi...

 

** Fin du rapport **

 

Je m'attaque à FSecure

[ladcandide]

C'est un peu long Fsecure j'en suis à 2% de telechargement de ses outils...

[ladcandide]

11%