Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Infection virus gendarmerie nationale


Messages recommandés

bonsoir, je viens d'être infecté par le virus apparement répandu de la gendarmerie nationale ("rançonnage?"). J'ai copié un exploreur sain via la commande de récupération (copy explorer.exe....) et j'ai relancé windows XP. J'ai réussi à rejoindre le bureau mais la barre de taches avec l'option démarré/arreté n'est plus la. Je suis en train de passer un scan complet de Malware anti-malware mais je soupçonne le virus encore présent et mon système infécté.

Quels outils dois-je passer pour supprimer l'infection définitivement? avant de redémarrer, quels scans/actions dois-je faire pour être sur?

 

Merci pour votre aide..sans compter que n'ayant pas le menu pour arreter ou redémarrer, je suis un peu bloqué (à part faire un reset???)

 

j'essai de mettre à jour java..via Java: http://java.com/fr/download/installed.jsp..il me met erreur interne 2753.regutils.dll (bref..je peux pas mettre java à jour??)

impossible de mettre à jour non plus flash :( peut-être parce que mon redémarrage n'est pas propre ou toujours infecté? ou bug?

 

editer: suite au scan Malware, j'ai 2 trojan detectés : dans c:/windows/document and settings/temp/58421xxxxx.exe que je peux supprimer sans trop de danger et un autre, justement celui qui pose problème : c:/windows/system 32/dllcache/explorer.exe . le trojan detecté est trojan.agent cbcgen..

edit2: j'ai remplacé le fichier infecté depuis la console de récuperation mais au redemarrage, toujours pas de menu demarrer pour restaurer ou arreter l'ordi..je seche completement.

s'il vous plait aidez moi, je ne sais pas si je peux les supprimer?? merci

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir

 

Redémarre le pc en mode sans échec avec prise en charge réseau.

Au démarrage du pc tapoter sur la touche F8 ou F5 de ton clavier.

windows_xp_mode_sans_echec.png

 

 

  • Ferme toutes les applications ouvertes
  • Désactive tes défenses (anti-virus et anti-spyware)
     
    Télécharge sur cette page :
    RogueKiller (par tigzy). sur le bureau
  • IMPORTANT:Quitte tous tes programmes en cours
  • Lance RogueKiller.exe.Pour Vista et seven
    fais un clique droit sur l'icône et exécute en tant qu'administrateur.
  • Attendre que le Prescan ait fini ...
  • Cliquer sur Scan.
  • Cliquer sur Suppression.
  • Cliquer sur Rapport et copier coller le contenu
    dans la réponse

 

 

 

Télécharge ZHPDiag de Nicolas Coolman sur ton Bureau

 

  • Lance l'outil : double-clique sur ZHPDiag pour XP
    Pour Vista et seven fais un clique droit sur l'icône et exécute en tant qu'administrateur.
     
    Clique sur le Tournevis a droit en haut
    tournevis.jpg
     
  • Pour Cocher toutes les cases >> Clique sur TOUS .
     
  • Puis Clique sur la petite loupe loupe.jpg en haut à gauche pour débuter l'analyse :
  • L'analyse peut durer une dizaine de minutes.
  • Le rapport généré par l'outil se nomme ZHPDiag.txt
  • Clique sur le bouton avec l'appareil photo pour copier le contenu intégral du rapport généré par l'outil dans le presse-papier :
  • Dans ta prochaine réponse post ce rapport via Cjoint.

 

  • IMPORTANT héberger le fichier contenant ce rapport sur http://cjoint.com/
    Voici la démarche compléte
  • Pour Héberger le fichier cjoint.com/
  • Sur la page du site Clique sur parcourir va jusqu'au rapport ZHPDiag sur ton bureau
  • Puis Clique sur ouvrir ce qui va te ramène sur le site cjoint
  • Ensuite en bas Clique sur Créer le lien Cjoint
    Une nouvelle fenêtre apparait avec un lien en bleu
  • Surligne le lien pour le Copier et colle le lien sur le Forum pour que je puisse le télécharger et analyser

 

A+

Lien vers le commentaire
Partager sur d’autres sites

bonjour Tomtom95,

Tout d'abord merci pour votre aide.

En voulant démarrer en mode sans echec avec prise en charge reseau, j'ai eu une erreur de explorer.exe et donc un ecran noir..j'ai fait control+alt + supp, et j'ai relancé manuellement l'explorer..nouveau message d'erreur mais j'ai eu la possibilité de restaurer à une version antrérieur (à vendredi) avant l'infection. J'ai redémarré En apparence, tout semble normal. Ceci dit, j'ai toujours la faille qui a causé cette 1ere attaque..je vais essayer en urgence de mettre a jour flash et java.

 

est ce qu'il existe une protection efficace (antivirus ou autre) contre ces attaques? Merci pour vos reponses

 

edit: j'ai réussi à mettre à jour flash et pas java : quand j'essai depuis le site adobe...il m'indique un message d'erreur (erreur interne 2753.regutils.dll ) pour la version 6_31. via javara; il me propose d'aller sur le site sun et la j'ai pu telecharger et installer la version java se 7u3( il me detecte la version 1.7.0_03.) dans program files/java, j'ai 2 dossiers :jre6 et jre7

dans ajout/suppression des programmes: j'ai java 6 update 27 et java 7 update 3, je ne comprend pas..lorsque je veux desinstaller java 6 update 27, il me marque le même message d'erreur interne...impossible de le desinstaller

 

rapport ZHPDiag : http://cjoint.com/?BCemwKWCcGa

 

Rapport RK :

RogueKiller V7.2.1 [29/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Blog: http://tigzyrk.blogspot.com

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: Administrateur [Droits d'admin]

Mode: Suppression -- Date: 04/03/2012 11:31:40

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 4 ¤¤¤

[DNS] HKLM\[...]\ControlSet002\Parameters : NameServer (207.68.160.190 194.25.2.129 208.67.222.222 207.68.160.190 194.25.2.129 208.67.222.222 ) -> NOT REMOVED, USE DNSFIX

[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{CE7ECFD6-70C9-4902-8ECF-01BFBDB38899} : NameServer (212.27.53.252,212.27.43.254) -> NOT REMOVED, USE DNSFIX

[DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{D4176A35-AA2B-48EC-83B3-81BB4620D911} : NameServer (207.68.160.190 194.25.2.129 208.67.222.222 ,207.68.160.190 194.25.2.129 208.67.222.222 ) -> NOT REMOVED, USE DNSFIX

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

127.0.0.1 activate.adobe.com

127.0.0.1 genuine.microsoft.com

127.0.0.1 mpa.one.microsoft.com

127.0.0.1 sa.windows.com

127.0.0.1 se.windows.com

127.0.0.1 ie.search.msn.com

127.0.0.1 wustat.windows.com

127.0.0.1 wutrack.windows.com

127.0.0.1 catalog.microsoft.com

127.0.0.1 sls.microsoft.com

127.0.0.1 spynet2.microsoft.com

127.0.0.1 spynettest.microsoft.com

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD740ADFD-00NLR1 +++++

--- User ---

[MBR] d8ecb2ffc2bcb8712ffb52999393f2a4

[bSP] f58aaebc34b9a59211da58bcfae70cc2 : MBR Code unknown

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 70904 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: WDC WD5000AAKX-001CA0 +++++

--- User ---

[MBR] d0692f7589d585d8d1a6c0eb79fd4b78

[bSP] 0d6d7f6c0523f1e30b32d98278e3092a : Windows 7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive2: ST3320620AS +++++

--- User ---

[MBR] b395b22d6f1186ca5ebf61294df4042a

[bSP] f6e99a7948b8f68d798ce77bf8f6f653 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 305234 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

Je suis toujours inquiet car comme je ne peux pas mettre à jour java, j'ai peur de me rechoper ça...est ce que des antivirus le detecte? Avira n'a rien vu, bitdefender antiphishing non plus, Windowsdefender rien...c'est assez inquiétant je trouve.. j'ai installé Avast depuis...mais gratuit et donc...bon??

 

j'ai passé un AdwCleaner : aucun problème

Modifié par rororudy
Lien vers le commentaire
Partager sur d’autres sites

Bonjour rororudy

 

IMPORTANT STP pendant la désinfection: n'utilise pas d'autre outils

 

est ce qu'il existe une protection efficace (antivirus ou autre) contre ces attaques?
OUI >>la meilleur protection c'est celui qui ce trouve derrière le clavier.

Et ce n'est pas en multipliant les antivirus que tu seras mieux protéger. Un seul antivirus suffit sur un ordinateur, quelle antivirus utilises-tu ?

C'est bien AVAST

DONC désinstalle tout ce qui concerne

BitDefender

Plus des reste de Avira AntiVir

Démarre >> "Panneau de Configurations" >> "Ajout/Suppression de programmes" ensuite sélectionne BitDefender (si présent) et clique sur Désinstaller

Si la désinstallation par "Ajout/Suppression de Programmes" ne fonctionnait pas

 

Téléchargez le fichier bitdefender uninstall

Une fois téléchargé, exécute le fichier puis clique sur le bouton "Uninstall",

à la fin de la procédure (lorsque le terme "Uninstall finished successfully" apparaît

à coté de la rubrique "Current Status") clique soit sur le bouton "reboot" soit sur le bouton "close"

 

 

Utilisation de logiciel P2P sont des sources d'infection multiples.plus les cracks

Azureus PeerToPeer

eMule PeerToPeer

Avast Internet Security 2012 inc.crack

AVS_Video_Converter_v8_0_4_495_Cracked etc......

 

Démarre le pc en mode normal

 

  • Ferme toutes les applications ouvertes
  • Désactive tes défenses (anti-virus et anti-spyware)
  • Double-clique sur ZHPFix Un raccourci installé par ZHPDiag sur le Bureau
     
    Pour Vista et seven
    fais un clique droit sur l'icône et exécute en tant qu'administrateur
    zhpfix.jpg
     
     
    Sélectionne et surligne correctement avec la souris et "Clique droit > "Copier"
    ces lignes ci dessous :
     
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Intl: Modified
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] XMLLookup: Modified
    [HKLM\SYSTEM\CurrentControlSet\Services] wscsvc : Modified
    O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} . (.Orbitdownloader.com - Orbitcth.) -- C:\Program Files\Orbitdownloader\orbitcth.dll
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} Clé orpheline
    O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} . (.Pas de propriétaire - Grab Pro.) -- C:\Program Files\Orbitdownloader\GrabPro.dll
    O9 - Extra button: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} . (...) -- C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Uninstall BitDefender Online Scanner - {92780B25-18CC-41C8-B9BE-3C9C571A8263} . (...) -- C:\Program Files\Microsoft Office\Office12\REFBARH.ICO
    O23 - Service: ArchVision Content Manager Service (ArchVision Content Manager Service) . (...) - C:\Program Files\ArchVision\ArchVision Content Manager\rpcACMapp.exe (.not file.)
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\AdobeAAMUpdater-1.0-xxxx-Jean.job
    O41 - Driver: (asusgsb) . (. - .) - C:\WINDOWS\system32\drivers\asusgsb32.sys (.not file.)
    O42 - Logiciel: Azureus - (.Pas de propriétaire.) [HKLM] -- Azureus
    O42 - Logiciel: eMule - (.Pas de propriétaire.) [HKLM] -- eMule
    [HKLM\Software\Panda Software]
    O43 - CFD: 20/06/2007 - 09:27:50 - [6,524] ----D- C:\Program Files\Azureus
    O43 - CFD: 21/01/2010 - 18:31:36 - [14,311] ----D- C:\Program Files\eMule
    O43 - CFD: 03/03/2012 - 15:03:10 - [109,768] ----D- C:\Program Files\Avira
    O45 - LFCP:[MD5.DE1DEE2B8411BA17FF8420BE80AD7CFA] - 03/03/2012 - 15:01:33 ---A- - C:\WINDOWS\Prefetch\SOFTONICDOWNLOADER_POUR_AVIRA-370C0D05.pf
    O45 - LFCP:[MD5.970C97301438ED61506F2DFCB3382B97] - 03/03/2012 - 15:02:40 ---A- - C:\WINDOWS\Prefetch\AVIRAANTIVIRPERSONALFR.EXE-33C8D761.pf
    O47 - AAKE:Key Export SP - "C:\Program Files\Avira\AntiVir Desktop\avcenter.exe" [Enabled] .(...) -- C:\Program Files\Avira\AntiVir Desktop\avcenter.exe (.not file.)
    O47 - AAKE:Key Export SP - "C:\Program Files\Avira\AntiVir Desktop\update.exe" [Enabled] .(...) -- C:\Program Files\Avira\AntiVir Desktop\update.exe (.not file.)
    O47 - AAKE:Key Export SP - "C:\Program Files\Avira\AntiVir Desktop\avnotify.exe" [Enabled] .(...) -- C:\Program Files\Avira\AntiVir Desktop\avnotify.exe (.not file.)
    O47 - AAKE:Key Export SP - "D:\A graver\234-so-cipea_ONL2.exe" [Enabled] .(...) -- D:\A graver\234-so-cipea_ONL2.exe (.not file.)
    O47 - AAKE:Key Export SP - "C:\Documents and Settings\Jean\Menu Démarrer\Programmes\Démarrage\VRLServer.exe" [Enabled] .(...) -- C:\Documents and Settings\Jean\Menu Démarrer\Programmes\Démarrage\VRLServer.exe (.not file.)
    O47 - AAKE:Key Export SP - "C:\Program Files\Poser Pro\PoserPro.exe" [Enabled] .(.Smith Micro Software, Inc - Poser Pro executable file.) -- C:\Program Files\Poser Pro\PoserPro.exe
    O47 - AAKE:Key Export SP - "D:\A graver\234-so-cipea_ONL2.exe" [Enabled] .(...) -- D:\A graver\234-so-cipea_ONL2.exe (.not file.)
    O61 - LFC:Last File Created 02/03/2012 - 10:51:45 ---A- C:\Documents And Settings\Jean\Recent\AVS_Video_Converter_v8_0_4_495_Cracked-F4CG.lnk [599]
    O61 - LFC:Last File Created 02/03/2012 - 15:19:32 ---A- C:\Documents And Settings\Jean\Recent\Avast Internet Security 2012 inc.crack.lnk [484]
    O61 - LFC:Last File Created 03/03/2012 - 15:05:16 ---A- C:\Documents And Settings\All Users\Application Data\Avira\AntiVir Desktop\REPORTS\983dd6b9.avl [3624]
    O61 - LFC:Last File Created 03/03/2012 - 15:05:35 ---A- C:\Documents And Settings\All Users\Application Data\Avira\AntiVir Desktop\REPORTS\9c8cca8d.avl [1700]
    O61 - LFC:Last File Created 03/03/2012 - 15:05:55 ---A- C:\Documents And Settings\All Users\Application Data\Avira\AntiVir Desktop\JOBS\scanjob.avj [1678]
    O61 - LFC:Last File Created 03/03/2012 - 15:07:42 ---A- C:\Documents And Settings\All Users\Application Data\Avira\AntiVir Desktop\REPORTS\97c1cd98.avl [1698]
    O61 - LFC:Last File Created 03/03/2012 - 17:08:58 ---A- C:\Documents And Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4cdee6e9.qua [0]
    O61 - LFC:Last File Created 03/03/2012 - 17:10:01 ---A- C:\Documents And Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\06129360.qua [7368020]
    O61 - LFC:Last File Created 03/03/2012 - 17:10:01 ---A- C:\Documents And Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\606bdc95.qua [9046]
    O61 - LFC:Last File Created 03/03/2012 - 17:10:01 ---A- C:\Documents And Settings\All Users\Application Data\Avira\AntiVir Desktop\REPORTS\5bc7e5be.avl [1774]
    O61 - LFC:Last File Created 03/03/2012 - 17:11:14 ---A- C:\Documents And Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\5449c2f6.qua [1073742272]
    O61 - LFC:Last File Created 03/03/2012 - 17:42:53 ---A- C:\Documents And Settings\All Users\Application Data\Avira\AntiVir Desktop\REPORTS\89daaa0b.avl [1716]
    O61 - LFC:Last File Created 03/03/2012 - 17:42:54 ---A- C:\Documents And Settings\All Users\Application Data\Avira\AntiVir Desktop\LOGFILES\AVSCAN-20120303-173603-622ABD1C.LOG [14806]
    O61 - LFC:Last File Created 03/03/2012 - 21:38:34 ---A- C:\Documents And Settings\All Users\Application Data\Avira\AntiVir Desktop\IDX\master.idx [56]
    O61 - LFC:Last File Created 03/03/2012 - 21:38:41 ---A- C:\Documents And Settings\All Users\Application Data\Avira\AntiVir Desktop\REPORTS\05e421dd.avl [1592]
    O61 - LFC:Last File Created 03/03/2012 - 22:51:02 ---A- C:\Documents And Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4d80363c.qua [51550]
    O61 - LFC:Last File Created 03/03/2012 - 22:51:02 ---A- C:\Documents And Settings\All Users\Application Data\Avira\AntiVir Desktop\LOGFILES\AVSCAN-20120303-224958-CE973D6C.LOG [21332]
    O61 - LFC:Last File Created 03/03/2012 - 22:51:02 ---A- C:\Documents And Settings\All Users\Application Data\Avira\AntiVir Desktop\REPORTS\64828431.avl [1750]
    O61 - LFC:Last File Created 03/03/2012 - 22:52:32 ---A- C:\Documents And Settings\All Users\Application Data\Avira\AntiVir Desktop\LOGFILES\AVSCAN-20120303-225118-2582460E.LOG [22526]
    O61 - LFC:Last File Created 03/03/2012 - 22:52:32 ---A- C:\Documents And Settings\All Users\Application Data\Avira\AntiVir Desktop\REPORTS\6c93d1b0.avl [1750]
    O61 - LFC:Last File Created 03/03/2012 - 23:35:27 ---A- C:\Documents And Settings\All Users\Application Data\Avira\AntiVir Desktop\JOBS\updjob.avj [1530]
    O61 - LFC:Last File Created 03/03/2012 - 23:51:39 ---A- C:\Documents And Settings\All Users\Application Data\Avira\AntiVir Desktop\EVENTDB\avevtdb.dbe [21504]
    O61 - LFC:Last File Created 02/03/2012 - 18:30:22 ---A- C:\Documents And Settings\Jean\Application Data\Azureus\downloads.config [15]
    O61 - LFC:Last File Created 02/03/2012 - 18:30:22 ---A- C:\Documents And Settings\Jean\Application Data\Azureus\tracker.config [14]
    O61 - LFC:Last File Created 02/03/2012 - 18:30:24 ---A- C:\Documents And Settings\Jean\Application Data\Azureus\azureus.config [10482]
    O61 - LFC:Last File Created 03/03/2012 - 11:15:51 ---A- C:\Documents And Settings\Jean\Application Data\Azureus\azureus.statistics [75]
    D:\A graver\Logiciels\AVS_Video_Converter_v8_0_4_495_Cracked-F4CG\crack\AVSVideoConverter.exe
    ServiceStop:Bonjour Service
    ServiceDemand:Bonjour Service
    ServiceStop:FLEXnet
    ServiceDemand:FLEXnet
    ServiceStop:BitDefender
    ServiceDemand:BitDefender
     
     
     
    FirewallRAZ
    EmptyFlash
    EmptyTemp
  • Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) icone-H.jpg puis sur l'icône de la "malette cachée par la feuille" malette-cachee.jpg .
     
  • Vérifie que toutes les lignes que je t'ai demandé de copier sont dans la fenêtre.
  • Et seulement ces lignes
  • Puis clique sur le bouton [OK]
  • A ce moment apparaîtra au début de chaque ligne
    une petite case vide. [ ]
  • Ensuite clique sur Tous puis sur Nettoyer
  • Valide par Oui la désinstallation des programmes si demandé
  • Laisse l'outil travailler. Si un redémarrage est demandé accepte et redémarre le PC
  • Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
     
    Le rapport ZHPFixReport.txt est enregistré sur le bureau[/b]

 

  • Télécharge
Temp File Cleaner (TFC) de Old Timer :
 
Enregistre-le sur le Bureau
Enregistre (sauvegarde) tous tes travaux en cours et ferme les applications - quitte-les définitivement (l'outil les fermera de toute façon automatiquement)
Double-clique sur TFC.exe (sous Vista - Windows 7 clique droit
"exécuter en tant qu'administrateur)
Clique sur Start
Laisse l'outil travailler (cela prend de quelques secondes à quelques minutes)
Si l'outil demande à redémarrer :
Clique sur Yes
Si l'outil ne propose pas le redémarrage
redémarrer manuellement.

 

  • Ensuite fait la mise à jour de MalwareByte's
  • Branche tes supports externes sur le pc (Clé USB,Disque Dur,etc..)
  • Allumé Sans les ouvrirs
  • Exécute maintenant MalwareByte's Anti-Malware.
  • Sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche clique sur"Rechercher".
  • Coche toutes les cases de tes lecteurs
  • Une fois le scan terminé une fenêtre s'ouvre clique sur OK.
  • Si des infections sont présentes
  • Clique sur "Afficher les résultats" puis sur "Supprimer la sélection".
  • Enregistre le rapport sur ton Bureau.
  • poste le rapport dans ta prochaine réponse.
     
    REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression accepte en cliquant sur Ok.

 

A+

Lien vers le commentaire
Partager sur d’autres sites

Merci Tomtom95 pour votre aide précieuse.. Je vais essayer de ne pas aller trop vite et je m'excuse si j'ai tenté de réparer par moi-même ;)

 

J'ai désinstallé Bit defender anti-phishing (je pensais qu'il pouvait me proposer une protection qu'avast free n'avait pas. Voici d'abord le rapport de ZHPFIXReport:

 

Rapport de ZHPFix 1.12.3380 par Nicolas Coolman, Update du 05/02/2011

Fichier d'export Registre :

Run by Jean at 04/03/2012 16:56:27

Windows XP Professional Service Pack 3 (Build 2600)

Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Web site : http://nicolascoolman.skyrock.com/

 

========== Logiciel(s) ==========

ABSENT Uninstall Process: c:\program files\azureus\uninstall.exe

ABSENT Uninstall Process: c:\program files\emule\uninstall.exe

 

========== Processus mémoire ==========

SUPPRIME Memory Process: D:\A graver\Logiciels\AVS_Video_Converter_v8_0_4_495_Cracked-F4CG\crack\AVSVideoConverter.exe

 

========== Clé(s) du Registre ==========

SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Azureus]

SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eMule]

SUPPRIME Key*: CLSID BHO: {000123B4-9B42-4900-B3F7-F4B073EFC214}

SUPPRIME Key*: CLSID BHO: {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}

SUPPRIME Key*: CLSID Extra Buttons: {85d1f590-48f4-11d9-9669-0800200c9a66}

SUPPRIME Key*: CLSID Extra Buttons: {92780B25-18CC-41C8-B9BE-3C9C571A8263}

SUPPRIME Key*: Service: ArchVision Content Manager Service

SUPPRIME Driver Key: asusgsb

SUPPRIME Key*: HKLM\Software\Panda Software

 

========== Valeur(s) du Registre ==========

ABSENT Value Key: wscsvc

SUPPRIME Toolbar: {C55BBCD6-41AD-48AD-9953-3609C48EACC7}

SUPPRIME AAKE KeyValue: C:\Program Files\Avira\AntiVir Desktop\avcenter.exe

SUPPRIME AAKE KeyValue: C:\Program Files\Avira\AntiVir Desktop\update.exe

SUPPRIME AAKE KeyValue: C:\Program Files\Avira\AntiVir Desktop\avnotify.exe

SUPPRIME AAKE KeyValue: D:\A graver\234-so-cipea_ONL2.exe

SUPPRIME AAKE KeyValue: C:\Documents and Settings\Jean\Menu Démarrer\Programmes\Démarrage\VRLServer.exe

SUPPRIME AAKE KeyValue: C:\Program Files\Poser Pro\PoserPro.exe

ABSENT AAKE KeyValue: D:\A graver\234-so-cipea_ONL2.exe

SUPPRIME FirewallRaz (SP) : C:\Program Files\ma-config.com\maconfservice.exe

Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

 

========== Elément(s) de donnée du Registre ==========

SUPPRIME Explorer Association Data Application: http://www.fileextensionpro.com/redir.aspx?LangID=%04x&Ext=%s'>http://www.fileextensionpro.com/redir.aspx?LangID=%04x&Ext=%s'>http://www.fileextensionpro.com/redir.aspx?LangID=%04x&Ext=%s

SUPPRIME Explorer Association Data Intl: http://www.fileextensionpro.com/redir.aspx?LangID=%04x&Ext=%s

SUPPRIME Explorer Association Data XMLLookup: http://www.fileextensionpro.com/redir.aspx?LangID=%04x&Ext=%s

 

========== Dossier(s) ==========

SUPPRIME Folder: C:\Program Files\Azureus

SUPPRIME Folder: C:\Program Files\eMule

SUPPRIME Folder: C:\Program Files\Avira

SUPPRIME Flash Cookies: 1

SUPPRIME Temporaires Windows: : 79

 

========== Fichier(s) ==========

SUPPRIME File: c:\program files\orbitdownloader\orbitcth.dll

SUPPRIME File: c:\program files\orbitdownloader\grabpro.dll

SUPPRIME File: c:\windows\bdoscandel.exe

SUPPRIME File: c:\program files\microsoft office\office12\refbarh.ico

ABSENT File: c:\program files\archvision\archvision content manager\rpcacmapp.exe

ABSENT File: c:\windows\tasks\adobeaamupdater-1.0-xxxx-jean.job

SUPPRIME File: c:\windows\prefetch\softonicdownloader_pour_avira-370c0d05.pf

SUPPRIME File: c:\windows\prefetch\aviraantivirpersonalfr.exe-33c8d761.pf

ABSENT File: c:\program files\avira\antivir desktop\avcenter.exe

ABSENT File: c:\program files\avira\antivir desktop\update.exe

ABSENT File: c:\program files\avira\antivir desktop\avnotify.exe

ABSENT File: d:\a graver\234-so-cipea_onl2.exe

ABSENT File: c:\documents and settings\jean\menu démarrer\programmes\démarrage\vrlserver.exe

SUPPRIME File: c:\program files\poser pro\poserpro.exe

SUPPRIME File: c:\documents and settings\jean\recent\avs_video_converter_v8_0_4_495_cracked-f4cg.lnk

SUPPRIME File: c:\documents and settings\jean\recent\avast internet security 2012 inc.crack.lnk

SUPPRIME File: c:\documents and settings\all users\application data\avira\antivir desktop\reports\983dd6b9.avl

SUPPRIME File: c:\documents and settings\all users\application data\avira\antivir desktop\reports\9c8cca8d.avl

SUPPRIME File: c:\documents and settings\all users\application data\avira\antivir desktop\jobs\scanjob.avj

SUPPRIME File: c:\documents and settings\all users\application data\avira\antivir desktop\reports\97c1cd98.avl

SUPPRIME File: c:\documents and settings\all users\application data\avira\antivir desktop\infected\4cdee6e9.qua

SUPPRIME File: c:\documents and settings\all users\application data\avira\antivir desktop\infected\06129360.qua

SUPPRIME File: c:\documents and settings\all users\application data\avira\antivir desktop\infected\606bdc95.qua

SUPPRIME File: c:\documents and settings\all users\application data\avira\antivir desktop\reports\5bc7e5be.avl

SUPPRIME File: c:\documents and settings\all users\application data\avira\antivir desktop\infected\5449c2f6.qua

SUPPRIME File: c:\documents and settings\all users\application data\avira\antivir desktop\reports\89daaa0b.avl

SUPPRIME File: c:\documents and settings\all users\application data\avira\antivir desktop\logfiles\avscan-20120303-173603-622abd1c.log

SUPPRIME File: c:\documents and settings\all users\application data\avira\antivir desktop\idx\master.idx

SUPPRIME File: c:\documents and settings\all users\application data\avira\antivir desktop\reports\05e421dd.avl

SUPPRIME File: c:\documents and settings\all users\application data\avira\antivir desktop\infected\4d80363c.qua

SUPPRIME File: c:\documents and settings\all users\application data\avira\antivir desktop\logfiles\avscan-20120303-224958-ce973d6c.log

SUPPRIME File: c:\documents and settings\all users\application data\avira\antivir desktop\reports\64828431.avl

SUPPRIME File: c:\documents and settings\all users\application data\avira\antivir desktop\logfiles\avscan-20120303-225118-2582460e.log

SUPPRIME File: c:\documents and settings\all users\application data\avira\antivir desktop\reports\6c93d1b0.avl

SUPPRIME File: c:\documents and settings\all users\application data\avira\antivir desktop\jobs\updjob.avj

SUPPRIME File: c:\documents and settings\all users\application data\avira\antivir desktop\eventdb\avevtdb.dbe

SUPPRIME File: c:\documents and settings\jean\application data\azureus\downloads.config

SUPPRIME File: c:\documents and settings\jean\application data\azureus\tracker.config

SUPPRIME File: c:\documents and settings\jean\application data\azureus\azureus.config

SUPPRIME File: c:\documents and settings\jean\application data\azureus\azureus.statistics

SUPPRIME File: d:\a graver\logiciels\avs_video_converter_v8_0_4_495_cracked-f4cg\crack\avsvideoconverter.exe

SUPPRIME Flash Cookies: 0

SUPPRIME Temporaires Windows: : 120

 

========== Etat des services ==========

Bonjour ServiceArrêté:

Bonjour ServiceService non configuré (demand)

FLEXnetArrêté:

FLEXnetService non configuré (demand)

BitDefenderArrêté:

BitDefenderService non configuré (demand)

 

 

========== Récapitulatif ==========

1 : Processus mémoire

9 : Clé(s) du Registre

11 : Valeur(s) du Registre

3 : Elément(s) de donnée du Registre

5 : Dossier(s)

43 : Fichier(s)

2 : Logiciel(s)

6 : Etat des services

 

 

End of clean in 00mn 19s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 04/03/2012 14:19:59 [559]

C:\ZHP\ZHPFix[R3].txt - 04/03/2012 14:20:40 [621]

C:\ZHP\ZHPFix[R4].txt - 04/03/2012 14:22:08 [675]

C:\ZHP\ZHPFix[R5].txt - 04/03/2012 14:23:40 [1425]

C:\ZHP\ZHPFix[R5].txt - 04/03/2012 16:56:27 [7397]

 

 

J'ai une question si je peux me permettre: j'avais installé bitdefender anti phishing justement pour me protéger contre ce type de phishing ou "rançonnage" (j'en avais eu un déjà il y a 2 semaines environ) mais apparement, ça ne m'a pas protégé du tout. Mon comportement lorsque j'ai chopé ce truc de la gendarmerie était normal, je cherchais un programme et un pop up a bloqué tout. Je comprends qu'il faut être prudent mais le sens de ma question était surtout que si on peut se choper ce genre de truc comme ça, il doit y avoir des outils/antivirus/spyware à conseiller? même une suite type norton 360 premier payante qui peut nous protéger ? (ce virus doit être dans des bases de données car il circule pas mal apparement?) quels bons outils pouvons nous utiliser? est-ce un anti phishing, un bon antivirus, un anti-spyware...une solution tout en un?

J'ai mis à jour java qui était resté bloqué à la version 6_27, flash mais est-ce suffisant?

J'ai aussi installé windows defender qui ne m'a pas protéger du tout, donc je m'inquiète sur le bon outil à un surf au minimum tranquille (même si la sécurité parfaite n'existe pas...)

Merci pour votre réponse et votre aide...

Une fois le scan terminé, je poste le rapport..

Modifié par rororudy
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir rororudy

 

  • Je comprends ta question, et j'ai déjà répondu en grand partie sur l'autre post . ;)
     
    Ton comportement est à l’ origine de cette infection, ce n'est pas en multipliant les protections que tu éviteras les infections. Tout au contraire….
    Il n’y a pas de protection type, avast 7 est très complet.
     
    Il te faut un seul antivirus,antimalware,et par-feu sur ton pc.
     
    Il te suffit sur tout de changer ton mode de téléchargement a risque, et ne pas aller chercher des cracks pour activé ces logiciels.
    De maintenir ton ordinateur à jour, et tu supprime une large partie d'être infecté.
     
    Je t'invite a lire:
Les Exploits sur les sites WEB piégés Merci Malekal_morte
Les risques du peer-to-peer Merci ogun
Lisez d'abord cliquez après !!! Merci TopXm
Pourquoi éviter le P2P ? Point législatif & dangers.Merci Gof
Les installateurs et l'opt out
 
 
Aprés avoir poster le rapport de MBAM
 
Télécharge Security Check (de screen317)
Security Check
  • Fermer tout tes applications
  • Double-clique sur "SecurityCheck.exe"
  • Pour Vista et seven
    fais un clique droit sur l'icône et exécute en tant qu'administrateur.
     
  • Suis les indications .
    Note: Si un des programmes de sécurité demande la permission d'accéder à Internet depuis dig.exe accepte.
    Le Rapport checkup.txt va s'ouvrir à la fin.
    Poster son contenu sur le forum.
    Le rapport ne sera pas enregistré automatiquement.
    Si tu veux en garder une copie
    cliquez sur "Fichier" et sur "Enregistrer sous"
  • choisir un endroit (EX: le Bureau) et clique sur "Enregistrer"

 

 

 

Refait aussi une analyse avec ZHPDiag pour que je puisse voir ce qui reste a faire.

 

IMPORTANT héberger les fichiers contenant les rapports sur http://cjoint.com/

[*]Sur la page du site Clique sur parcourir va jusqu'au rapport

[*]Puis Clique sur ouvrir ce qui va te ramène sur le site cjoint

[*]Ensuite en bas Clique sur Créer le lien Cjoint

[*]Une nouvelle fenêtre apparait avec un lien en bleu

[*]Surligne le lien pour le Copier et colle le lien sur le Forum pour que je puisse le télécharger et analyser.

 

 

A+

Lien vers le commentaire
Partager sur d’autres sites

Merci pour vos précisions et liens...

 

voici le rapport Malwarebytes :

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org

 

Version de la base de données: v2012.03.04.02

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Jean :: xxxx[administrateur]

 

04/03/2012 17:15:26

mbam-log-2012-03-04 (17-15-26).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 501207

Temps écoulé: 2 heure(s), 28 minute(s), 24 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 2

D:\System Volume Information\_restore{57709071-CEDF-43CF-92DA-8B70784A776B}\RP1421\A0457504.exe (Trojan.Agent.CK) -> Mis en quarantaine et supprimé avec succès.

D:\System Volume Information\_restore{57709071-CEDF-43CF-92DA-8B70784A776B}\RP1421\A0457507.exe (Trojan.Agent.CK) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

 

Je vais redémarrer et passer Security Check

Merci encore :)

Lien vers le commentaire
Partager sur d’autres sites

RE

 

D'accord ,ce que trouve MBAM est dans la restauration ;)

On vois a la fin pour la purger.

 

D'abord ZHPDiag

 

A+

Lien vers le commentaire
Partager sur d’autres sites

je viens de passer Security Check

mais il n'ya pas eu de fenetre pour copier le rapport..j'ai entraperçu rapidement qu'il l'avait enregistré quelque part mais j'ai pas noté où..impossible de trouver un checkup.txt sur le disque? bizarre...je vais le relancer..

 

..pas mieux...la fenetre se ferme tout de suite après la fin du scan..impossible de lire quoi que ce soit;.aucune fenetre ne s'ouvre...

:(

 

voici le rapport ZHPDiag :

http://cjoint.com/?BCeuJczWkhr

Modifié par rororudy
Lien vers le commentaire
Partager sur d’autres sites

RE rororudy

 

Ok c'est pas grave,les mises à jour sont faites. ;)

 

  • Ferme toutes les applications ouvertes
  • Désactive tes défenses (anti-virus et anti-spyware)
  • Double-clique sur ZHPFix Un raccourci installé par ZHPDiag sur le Bureau
    Sélectionne et surligne correctement avec la souris et "Clique droit > "Copier"
    ces lignes ci dessous :
     
    [HKLM\SYSTEM\CurrentControlSet\Services] wscsvc : Modified
    O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} . (...) -- (.not file.)
    O3 - Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} . (...) -- (.not file.)
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\AdobeAAMUpdater-1.0-XXXXX-Jean.job
    [HKCU\Software\PPLive]
    [HKCU\Software\Panda Software]
    [HKCU\Software\TVANTS]
    [HKCU\Software\ppStream]
    O43 - CFD: 24/05/2010 - 17:09:56 - [0,000] ----D- C:\Program Files\avsysinfo
    O43 - CFD: 23/02/2012 - 00:01:30 - [20,799] ----D- C:\Program Files\BitDefender
    O43 - CFD: 04/03/2012 - 16:47:34 - [0] ----D- C:\Program Files\Fichiers Communs\BitDefender
    O43 - CFD: 04/03/2012 - 16:56:26 - [0,007] ----D- C:\Documents and Settings\Jean\Application Data\Azureus
    O43 - CFD: 21/08/2007 - 10:33:56 - [0] ----D- C:\Documents and Settings\Jean\Application Data\Lavasoft
    O43 - CFD: 26/05/2007 - 17:17:58 - [0,000] ----D- C:\Documents and Settings\Jean\Application Data\ppStream
    O44 - LFC:[MD5.FDF06637A62677613683D05D9FA001E9] - 04/03/2012 - 16:47:14 ---A- . (...) -- C:\WINDOWS\system32\bdod.bin [81984]
    O44 - LFC:[MD5.D6D4A1A688F4F5708CEC29CAC9665A87] - 23/02/2012 - 00:13:50 ---A- . (...) -- C:\WINDOWS\system32\ProductTweaks.xml [850]
    O44 - LFC:[MD5.E88C3218BAC1FB3D916E63520E5DC30B] - 23/02/2012 - 00:13:49 ---A- . (...) -- C:\WINDOWS\system32\user_gensett.xml [385]
    O53 - SMSR:HKLM\...\startupreg\BitDefender Antiphishing Helper [Key] . (...) -- C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe (.not file.)
    O53 - SMSR:HKLM\...\startupreg\BDAgent [Key] . (...) -- C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe (.not file.)
    O55 - MWPS:[HKLM\...\Policies\System] - "EnableLinkedConnections"=1
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]
     
    FirewallRAZ
    EmptyFlash
    EmptyTemp
  • Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) icone-H.jpg puis sur l'icône de la "malette cachée par la feuille" malette-cachee.jpg .
     
  • Vérifie que toutes les lignes que je t'ai demandé de copier sont dans la fenêtre.
  • Et seulement ces lignes
  • Puis clique sur le bouton [OK]
  • A ce moment apparaîtra au début de chaque ligne
    une petite case vide. [ ]
  • Ensuite clique sur Tous puis sur Nettoyer
  • Valide par Oui la désinstallation des programmes si demandé
  • Laisse l'outil travailler. Si un redémarrage est demandé accepte et redémarre le PC
  • Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
     
    Le rapport ZHPFixReport.txt est enregistré sur le bureau[/b]

 

 

 

  • Suppression des outils
    Télecharge sur le site
DelFix(de Xplode) sur ton Bureau
 
Choisis l'option "Recherche"
Valide sur Entrée
Laisse travailler l'outil
Copie/colle le rapport obtenu
 
Relance Delfix
 
Choisis l'option "Suppression"
Valide sur Entrée
Laisse travailler l'outil
Copie/colle le rapport obtenu,et post le rapport :D
Supprime DelFix ainsi que les autres outils restant éventuellement sur le bureau.

 

  • IMPORTANT Tu va supprimer tes anciennes sauvegarde du pc
     
    il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés .
  • Cliquez sur le bouton Démarrer faîtes un clique droit sur "poste de travail" puis cliquez sur "Propriétés" :
  • Cliquez ensuite sur "Onglet Restauration systéme" :
  • cochez la ou les cases des disque(s) pour lesquels on souhaite désactiver la restauration du système :
     
  • Pour réactiver la restauration système
    il suffit de décocher à nouveau les cases un nouveau point sera fait.

 

A+

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...