[Résolu] Infection et rapport ZHPDiag

[DarkPig]

Bonjour

 

Suite à un probleme avec netsh.exe et mswsock.dll (http://forum.zebulon.fr/erreur-dans-netshexe-et-mswsockdll-t194674.html&pid=1624752#entry1624752) il est apparu que mon PC est infecté.

 

Pour résumer, plus aucun navigateur n'arrivait à se connecter, mais Outlook y arrivait toujours. J'ai eu le message d'erreur "Le point d'entrée de procédure MigrateWinsockConfiguration est introuvable dans la bibliothèque de liaisons dynamique MSWSOCK.dll", avec comme titre "netsh.exe - Point d'entrée introuvable". Avira Antivirus n'a rien trouvé, mais Malware byte anti-malware, TDSS et Microsoft safety scanner ont trouvé et effacé des malwares. Le probleme est réglé, mais ab-web m'a demandé un rapport ZHPDIAG et y a trouvé des choses louches, et m'a donc conseillé de venir ici.

 

Voici mon rapport ZHPDIAG :

ZHPDiag.txt

 

Merci de m'aider.

Modifié le 16 juillet 2012 par DarkPig

[pear]

Malware byte anti-malware, TDSS et Microsoft safety scanner ont trouvé et effacé des malwares.

 

Postez les 3 rapports , svp.

[DarkPig]

Mon rapport Malware byte anti-malware :

http://pjjoint.malekal.com/files.php?id=20120710_m15w6n12u13i7

 

Pour TDSS killer, je n'ai pas pû enregistrer le rapport car j'ai eu un écran bleu quelques instants après la fin, et après redémarrage je l'ai re-exécuté, du coup ça a remplacé le premier rapport. Y a t-il un moyen de le récupérer ?

Sinon je viens d'en faire un nouveau :

http://pjjoint.malekal.com/files.php?id=20120710_j10z8p13p6k7

 

Je n'ai pas réussi à enregistrer de rapport avec Microsoft safety scanner, d'ailleurs je n'ai même pas réussi à savoir quels fichiers étaient concernés, il a juste dit qu'il avait trouvé des infections et m'a demandé si je voulais réparer ou supprimer. Je l'ai re-éxécuté depuis et il n'a plus rien trouvé.

 

Avant de venir j'avais aussi éxécuté ZHPFix, sans trop savoir m'en servir, voici le rapport :

ZHPFixReport.txt

Modifié le 10 juillet 2012 par DarkPig

[pear]

========== Restauration Système ========== Point de restauration non crée

 

Réactivez la restauration système.

Elle pourrait vous sauver la mise un jour.

 

Poste de Travai(Ordinateur)->Propriétés->Restauration Système.

Décocher la case "Désactiver la Restauration sur tous les lecteurs".

et Redémarrerez

Un nouveau point de restauration sera créé au redémarrage.

 

 

Télécharger RogueKiller (by tigzy) sur le bureau

 

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre", décocher les lignes suivantes:

(Lignes à décocher:celles que vous avez volontairement modifiées)

Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Sauf avis contraire, ne touchez pas aux index SSDT

Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

(Liste des indexes)

 

Note. Le bouton Suppression ne sera pas accessible tant que le scan n'aura pas été fait

[DarkPig]

Ok.

Rapport après scan.

Rapport après suppression.

Rapport après host raz.

Rapport après proxy raz.

Rapport après dns raz.

Rapport après racc raz.

[pear]

Cela semble en ordre.

 

Encore quelque chose ?

[DarkPig]

Je viens de faire un scan ZHPDiag et les lignes posant probleme sont toujours là :

 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified => Infection BT (Hijacker.Application)

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Intl: Modified => Infection BT (Hijacker.Intl)

O43 - CFD: 24/12/2011 - 05:45:55 - [20,626] ----D C:\Documents and Settings\Gros\Application Data\Tencent => Infection BT (Adware.TencentAddressBar)

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)

O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)

nouveau rapport ZHPDiag

Modifié le 10 juillet 2012 par DarkPig

[pear]

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document

Vous ne verrez rien avant d'avoir Cliqué sur le H-

 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified => Infection BT (Hijacker.Application)

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Intl: Modified => Infection BT (Hijacker.Intl)

O43 - CFD: 24/12/2011 - 05:45:55 - [20,626] ----D C:\Documents and Settings\Gros\Application Data\Tencent => Infection BT (Adware.TencentAddressBar)

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)

O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)

 

010 - Broken Internet access because of LSP provider (.not file.) -- mswsock.dll => Fichier absent

O23 - Service: Avira Upgrade Service (AviraUpgradeService) . (...) - C:\WINDOWS\TEMP\AVSETUP_4edd76b4\avupgsvc.exe (.not file.) => Fichier absent

O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1 => Safer Networking Limited Spybot - S&D

O42 - Logiciel: Spybot - Search & Destroy 1.4 - (.Safer Networking Limited.) [HKLM] -- Spybot - Search & Destroy_is1 => Spybot Search & Destroy

O43 - CFD: 02/08/2011 - 00:48:16 - [86,654] ----D C:\Program Files\Spybot - Search & Destroy => Spybot - Search & Destroy

O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\87178001.sys . (...) -- C:\WINDOWS\system32\Drivers\87178001.sys (.not file.) => Fichier absent

O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\87178001.sys . (...) -- C:\WINDOWS\system32\Drivers\87178001.sys (.not file.) => Fichier absent

O53 - SMSR:HKLM\...\startupreg\IMEKRMIG6.1 [Key] . (.Microsoft Corporation - Microsoft Korean IME 2002.) -- C:\WINDOWS\ime\imkr6_1\IMEKRMIG.exe

O68 - StartMenuInternet: <115br.exe> <>[HKLM\..\Shell\open\Command] (...) -- C:\Program Files\115\browser\115br.exe (.not file.) => Fichier absent

TOOLBAR INUTILE (Navigateur internet)

M3 - MFPP: Plugins - [Gros] -- C:\Documents and Settings\Gros\Application Data\Mozilla\Firefox\Profiles\6lqoj7ns.default\searchplugins\askcom.xml => Plugin Mozilla Firefox Ask.com

O43 - CFD: 11/05/2012 - 14:50:28 - [0] ----D C:\Documents and Settings\Gros\Local Settings\Application Data\APN => Toolbar.eBay

O69 - SBI: C:\Documents and Settings\Gros\Application Data\Mozilla\Firefox\Profiles\6lqoj7ns.default\searchplugins\askcom.xml => Plugin Mozilla Firefox Ask.com

 

 

SysRestore

EmptyFlash

EmptyTemp

FirewallRaz

 

 

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

Cliquer sur "Tous" puis sur "Nettoyer" .

Redémarrer pour achever le nettoyage.

Un rapport apparait:

Si le rapport n'apparait pas,cliquer sur

Copier-coller le rapport de suppression dans la prochaine réponse.

[DarkPig]

Ok, voilà le rapport :

Rapport de ZHPFix 1.2.04 par Nicolas Coolman, Update du 23/04/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-11-07-2012-19-19-30.txt
Run by Gros at 11/07/2012 19:19:30
Windows XP Professional Service Pack 3 (Build 2600)
Web site : [url=http://www.premiumorange.com/zeb-help-process/zhpfix.html]ZHPFix Fix de rapport[/url]
Web site : [url=http://nicolascoolman.skyrock.com/]Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com[/url]

========== Logiciel(s) ==========
SUPPRIME Spybot - Search & Destroy
SUPPRIME Spybot - Search & Destroy 1.4

========== Clé(s) du Registre ==========
SUPPRIME Key*: Service: AviraUpgradeService
SUPPRIME O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\87178001.sys . (...) -- C:\WINDOWS\system32\Drivers\87178001.sys (.not file.)
SUPPRIME O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\87178001.sys . (...) -- C:\WINDOWS\system32\Drivers\87178001.sys (.not file.)
SUPPRIME Key*:  StartupReg: IMEKRMIG6.1

========== Valeur(s) du Registre ==========
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Elément(s) de donnée du Registre ==========
SUPPRIME Explorer Association Data Application: [url=http://www.filefacts.net/redirect.php?lang=%04x&ext=%s]Filefacts.net[/url]
SUPPRIME Explorer Association Data Intl: [url=http://www.filefacts.net/redirect.php?lang=%04x&ext=%s]Filefacts.net[/url]
SUPPRIME StartMenuInternet: C:\Program Files\115\browser\115br.exe 

========== Dossier(s) ==========
SUPPRIME Folder: C:\Documents and Settings\Gros\Application Data\Tencent
SUPPRIME Reboot Folder**: C:\Program Files\Spybot - Search & Destroy
SUPPRIME Folder: C:\Documents and Settings\Gros\Local Settings\Application Data\APN
SUPPRIME Flash Cookies
SUPPRIME Temporaires Windows

========== Fichier(s) ==========
ABSENT File: c:\windows\temp\avsetup_4edd76b4\avupgsvc.exe
ABSENT File: c:\windows\system32\drivers\87178001.sys
SUPPRIME File: c:\windows\ime\imkr6_1\imekrmig.exe
SUPPRIME File: c:\documents and settings\gros\application data\mozilla\firefox\profiles\6lqoj7ns.default\searchplugins\askcom.xml
ABSENT File: c:\documents and settings\gros\application data\mozilla\firefox\profiles\6lqoj7ns.default\searchplugins\askcom.xml
SUPPRIME Flash Cookies
SUPPRIME Temporaires Windows

========== Restauration Système ==========
Point de restauration non crée

========== Autre ==========
NON TRAITE 010 - Broken Internet access because of LSP provider (.not file.) -- mswsock.dll
NON TRAITE TOOLBAR INUTILE (Navigateur internet)


========== Récapitulatif ==========
4 : Clé(s) du Registre
4 : Valeur(s) du Registre
3 : Elément(s) de donnée du Registre
5 : Dossier(s)
7 : Fichier(s)
2 : Logiciel(s)
1 : Restauration Système
2 : Autre


End of clean in 01mn 54s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 11/07/2012 19:19:30 [2802]

 

Pourquoi m'avoir fait désinstaller Spybot ?

[pear]

Pourquoi m'avoir fait désinstaller Spybot ?

 

Parce qu'il est obsolète .

Il faut savoir que Spybot utilise une technologie dépassée.

Si vous ajoutez à cela les problèmes causés par la vaccination qui ralentit le système et TeaTimer qui peut faire obstacle à une désinfection.....

Préférez lui Malwarebytes' Anti-Malware (MBAM) plus efficace bien que ,en version libre ,il ne soit pas résident.