Infecté par Dropper.generic_c.mmi (2)

[Jivix]

Je recrée le sujet, l'autre étant bloqué.

 

Donc pour rappel, AVG m'affichait des alertes concernant "Dropper.generic_c.mmi" sur le fichier C:\Windows\System32\services.exe. Comme on me l'a conseillé, j'ai lancé un ComboFix (impossible de le lancer normalement, donc je l'ai lancé en mode sans échec mais là je n'ai pas trouvé comment désactiver AVG), qui semble avoir résolu le problème de mon point de vue.

Voici donc le rapport de ComboFix.

[pear]

Oui, Combofix a remis votre pc d'aplomb.

Vous étiez infecté(gravement) par Sirefef,entre autres.

 

Une vérification s'impose:

 

Lancez cet outil de diagnostic:

Zhpdiag 1.31

 

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Sur le bureau ,il y aura 3 icônes

 

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

 

 

Cliquez sur le bouton en haut, à droite et choisissez Tous

Pour éviter un blocage, décochez 045 et 061

 

Clic sur la Loupe en haut, à gauche pour lancer le scan

Postez le rapport ZhpDiag.txt qui apparait sur le bureau

 

Comment poster les rapports

Cliquez sur ce bouton en haut, à droite

Appuyez sur Parcourir et chercher le rapport ,

Cliquer sur Envoyer

>> dans la page suivante -->

Cliquer Pjjoint Uploader ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

[Jivix]

Voici :

pjjoint.malekal.com - Submit a file

[pear]

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document

Vous ne verrez rien avant d'avoir Cliqué sur le H-

 

[MD5.E0DD774689998F43167C4799F9B69FC3] - (...) -- C:\Users\Jean\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe [932528] [PID.5328] => Infection FakeAlert (Possible)

G0 - GCSP: Preference [user Data\Default][HomePage] http://search.babylon.com => Infection BT (Toolbar.Babylon)

G0 - GCSP: Preference [user Data\Default] http://search.babylon.com => Infection BT (Toolbar.Babylon)

G1 - GCS: Preference [user Data\Default] http://www.searchqu.com => Infection BT (Adware.Bandoo)

M3 - MFPP: Plugins - [Jean] -- C:\Program Files (x86)\Mozilla FireFox\searchplugins\babylon.xml => Infection BT (Toolbar.Babylon)

R1 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs,Tabs = http://search.babylon.com => Infection BT (Toolbar.Babylon)

O4 - HKCU\..\Run: [spotify Web Helper] . (...) -- C:\Users\Jean\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe => Infection FakeAlert (Possible)

O4 - HKUS\S-1-5-21-347495923-140499702-146862666-1000\..\Run: [spotify Web Helper] . (...) -- C:\Users\Jean\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe => Infection FakeAlert (Possible)

[MD5.00000000000000000000000000000000] [APT] [DealPlyUpdate] (...) -- C:\Program Files (x86)\DealPly\DealPlyUpdate.exe (.not file.) => Infection PUP (PUP.DealPly)

O42 - Logiciel: Windows Searchqu Toolbar - (.Bandoo Media Inc.) [HKLM] -- Searchqu 410 MediaBar => Infection BT (Adware.Bandoo)

[HKCU\Software\AppDataLow\Software\searchqutoolbar] => Infection PUP (Adware.Bandoo)

O43 - CFD: 25/07/2012 - 22:13:41 - [0] ----D C:\Users\Jean\AppData\Roaming\searchquband => Infection PUP (Adware.Bandoo)

O43 - CFD: 25/07/2012 - 22:13:52 - [0,014] ----D C:\Users\Jean\AppData\Roaming\searchqutoolbar => Infection PUP (Adware.Bandoo)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("browser.babylon.HPOnNewTab", "search.babylon.com"); => Infection BT (Toolbar.Babylon)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("browser.search.defaultenginename", "Search the web (Babylon)"); => Infection BT (Toolbar.Babylon)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("browser.search.order.1", "Search the web (Babylon)"); => Infection BT (Toolbar.Babylon)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("extensions.BabylonToolbar_i.aflt", "babsst"); => Infection BT (Toolbar.Babylon)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("extensions.BabylonToolbar_i.babExt", ""); => Infection BT (Toolbar.Babylon)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("extensions.BabylonToolbar_i.babTrack", "affID=111789&tt=060612_5_"); => Infection BT (Toolbar.Babylon)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("extensions.BabylonToolbar_i.hardId", "1478b50b000000000000fed11198409d"); => Infection BT (Toolbar.Babylon)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("extensions.BabylonToolbar_i.id", "1478b50b000000000000fed11198409d"); => Infection BT (Toolbar.Babylon)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("extensions.BabylonToolbar_i.instlDay", "15514"); => Infection BT (Toolbar.Babylon)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("extensions.BabylonToolbar_i.instlRef", "sst"); => Infection BT (Toolbar.Babylon)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("extensions.BabylonToolbar_i.newTab", true); => Infection BT (Toolbar.Babylon)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("extensions.BabylonToolbar_i.newTabUrl", "http://search.babylon.com/?affID=111789&tt=060612_5_&babsrc=NT_ss&mntrId=1478b[...] => Infection BT (Toolbar.Babylon)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar"); => Infection BT (Toolbar.Babylon)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon"); => Infection BT (Toolbar.Babylon)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("extensions.BabylonToolbar_i.smplGrp", "none"); => Infection BT (Toolbar.Babylon)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("extensions.BabylonToolbar_i.srcExt", "ss"); => Infection BT (Toolbar.Babylon)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("extensions.BabylonToolbar_i.tlbrId", "base"); => Infection BT (Toolbar.Babylon)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17"); => Infection BT (Toolbar.Babylon)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.1712:21:15"); => Infection BT (Toolbar.Babylon)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17"); => Infection BT (Toolbar.Babylon)

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("extensions.facemoods.aflt", "_#ddrnw"); => Adware.Facemoods

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("extensions.facemoods.firstRun", false); => Adware.Facemoods

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("extensions.facemoods.lastActv", "21"); => Adware.Facemoods

O69 - SBI: prefs.js [Jean - c61k9jl4.default] user_pref("keyword.URL", "http://search.babylon.com/?affID=111789&tt=060612_5_&babsrc=KW_ss&mntrId=1478b50b000000000000fed11198409[...] => Infection BT (Toolbar.Babylon)

O69 - SBI: SearchScopes [HKCU] {9BB47C17-9C68-4BB3-B188-DD9AF0FD2410} - (Web Search) - http://www.searchqu.com => Infection BT (Adware.Bandoo)

[HKLM\Software\WOW6432Node\Classes\AppID\esrv.EXE] => Infection BT (Toolbar.Babylon)

[HKLM\Software\WOW6432Node\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}] => Infection BT (Adware.Agent)

[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}] => Infection BT (Adware.MyWebSearch)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}] => Infection BT (Toolbar.Babylon)

[HKLM\Software\WOW6432Node\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1}] => Infection BT (Toolbar.Babylon)

[HKLM\Software\WOW6432Node\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}] => Infection BT (Toolbar.Babylon)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}] => Infection BT (Toolbar.Babylon)

[HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079A25-328F-4BD4-BE04-00955ACAA0A7}] => Infection BT (Adware.Bandoo)

[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}] => Infection BT (Adware.Bandoo)

[HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}] => Infection BT (Adware.Bandoo)

[HKLM\Software\WOW6432Node\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}] => Infection BT (Toolbar.Babylon)

[HKLM\Software\WOW6432Node\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}] => Infection BT (Toolbar.Babylon)

[HKCU\Software\searchqutoolbar] => Infection PUP (Adware.Bandoo)

C:\Users\Jean\AppData\Roaming\searchquband => Infection PUP (Adware.Bandoo)

C:\Users\Jean\AppData\Roaming\searchqutoolbar => Infection PUP (Adware.Bandoo)

C:\Users\Jean\AppData\LocalLow\BabylonToolbar => Infection BT (Toolbar.Babylon)

C:\Users\Jean\AppData\LocalLow\searchquband => Infection PUP (Adware.Bandoo)

C:\Users\Jean\AppData\LocalLow\searchqutoolbar => Infection PUP (Adware.Bandoo)

C:\Users\Jean\AppData\Roaming\Mozilla\Firefox\Profiles\c61k9jl4.default\searchqutoolbar => Infection PUP (Adware.Bandoo)

M3 - MFPP: Plugins - [Jean] -- C:\Program Files (x86)\Mozilla FireFox\searchplugins\Search_Results.xml

O4 - Global Startup: C:\Users\Jean\Desktop\Connexions réseau.lnk - Clé orpheline => Orphean Key not necessary

O4 - Global Startup: C:\Users\Jean\Desktop\Spybot - Search & Destroy.lnk . (.Safer Networking Limited.) -- C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe => Safer Net Working%Spybot S&D

O4 - Global Startup: C:\Users\Jean\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Spybot - Search & Destroy.lnk . (.Safer Networking Limited.) -- C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe => Safer Net Working%Spybot S&D

[MD5.00000000000000000000000000000000] [APT] [{FEE99B8F-724B-493A-9094-07A25E1B4CD5}] (...) -- E:\Jeux Steam\S.T.A.L.K.E.R. Shadow of Chernobyl\Disk_1\steambackup.exe (.not file.) => Fichier absent

O42 - Logiciel: Cracklock 3.9.44 - (.William Blum.) [HKLM] -- Cracklock_is1

O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1 => Safer Networking Limited Spybot - S&D

O43 - CFD: 29/11/2011 - 14:10:02 - [2,389] ----D C:\Program Files (x86)\Cracklock => Crack, KeyGen, Keymaker - Possible Malware

O43 - CFD: 25/07/2012 - 22:25:52 - [51,522] ----D C:\Program Files (x86)\Spybot - Search & Destroy => Spybot - Search & Destroy

O43 - CFD: 25/07/2012 - 22:40:36 - [6,118] ----D C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy

O43 - CFD: 22/11/2011 - 22:24:51 - [274,966] ----D C:\Users\Jean\AppData\Roaming\thriXXX => thriXXX Game

O43 - CFD: 29/11/2011 - 14:10:02 - [2,389] ----D C:\Program Files (x86)\Cracklock => Crack, KeyGen, Keymaker - Possible Malware

O43 - CFD: 25/07/2012 - 22:25:52 - [51,522] ----D C:\Program Files (x86)\Spybot - Search & Destroy => Spybot - Search & Destroy

M3 - MFPP: Plugins - [Jean] -- C:\Users\Jean\AppData\Roaming\Mozilla\Firefox\Profiles\c61k9jl4.default\searchplugins\SearchResults.xml => Toolbar.Agent

M3 - MFPP: Plugins - [Jean] -- C:\Program Files (x86)\Mozilla FireFox\searchplugins\SearchResults.xml => Toolbar.Agent

R3 - URLSearchHook: uTorrentBar_FR Toolbar [64Bits] - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} . (...) (No version) -- C:\Program Files (x86)\uTorrentBar_FR\prxtbuTor.dll

O2 - BHO: uTorrentBar_FR [64Bits] - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} . (...) -- C:\Program Files (x86)\uTorrentBar_FR\prxtbuTor.dll (.not file.) => Toolbar.Conduit

[HKCU\Software\AppDataLow\Software\Conduit] => Toolbar.Conduit

[HKCU\Software\AppDataLow\Software\Smartbar] => Toolbar.Agent

[HKCU\Software\AppDataLow\Software\uTorrentBar_FR] => Toolbar.Conduit

[HKCU\Software\AppDataLow\Toolbar] => Toolbar.Conduit

[HKLM\Software\Conduit] => Toolbar.Conduit

[HKLM\Software\uTorrentBar_FR] => Toolbar.Conduit

O43 - CFD: 8/05/2012 - 18:45:48 - [0,609] ----D C:\Program Files (x86)\Conduit => Toolbar.Conduit

O43 - CFD: 8/05/2012 - 18:45:47 - [0,063] ----D C:\Users\Jean\AppData\Local\Conduit => Toolbar.Conduit

O43 - CFD: 8/05/2012 - 18:45:48 - [0,609] ----D C:\Program Files (x86)\Conduit => Toolbar.Conduit

O69 - SBI: SearchScopes [HKCU] {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} [DefaultScope] - (Search the web (Babylon)) - http://search.babylon.com => Toolbar.Babylon

O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (uTorrentBar_FR Customized Web Search) - http://search.conduit.com => Toolbar.Conduit

[HKLM\Software\WOW6432Node\Classes\CLSID\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}] => Toolbar.Agent

[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}] => Toolbar.Agent

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}] => Toolbar.Agent

[HKLM\Software\WOW6432Node\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}] => AVG Security Toolbar

[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] => Toolbar.Conduit

[HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] => Toolbar.Conduit

[HKCU\Software\AppDataLow\Toolbar] => Toolbar.Conduit

[HKCU\Software\AppDataLow\Software\uTorrentBar_FR] => Toolbar.Conduit

[HKLM\Software\WOW6432Node\uTorrentBar_FR] => Toolbar.Conduit

[HKLM\Software\Classes\Toolbar.CT2851639] => Toolbar.Agent

C:\Program Files (x86)\Conduit => Toolbar.Conduit

C:\Users\Jean\AppData\Local\Conduit => Toolbar.Conduit

C:\Users\Jean\AppData\LocalLow\Conduit => Toolbar.Conduit

C:\Users\Jean\AppData\LocalLow\facemoods.com => Toolbar.Facemoods

C:\Users\Jean\AppData\LocalLow\uTorrentBar_FR => Toolbar.Conduit

C:\Users\Jean\AppData\Roaming\Mozilla\Firefox\Profiles\c61k9jl4.default\SearchPlugins\SearchResults.xml => Toolbar.Agent

O4 - Global Startup: C:\Users\Jean\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Winamp.lnk . (.Nullsoft, Inc..) -- C:\Program Files (x86)\Winamp\winamp.exe => Unknown owner%.

SysRestore

EmptyFlash

EmptyTemp

FirewallRaz

Proxyfix

Hostfix

 

 

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

Cliquer sur "Tous" puis sur "Nettoyer" .

Redémarrer pour achever le nettoyage.

Un rapport apparait:

Si le rapport n'apparait pas,cliquer sur

Copier-coller le rapport de suppression dans la prochaine réponse.

[Jivix]

Voilà le rapport de suppression :

Lien CJoint.com BHglCZbbBHf

[pear]

Très bien.

 

Encore quelque chose ?

[Jivix]

Non je pense que tout va bien maintenant.

 

Encore un grand merci pour votre aide.