Infecté par System Check

[ThomassssS]

Mince, alors non, décidement je n'ai pas compris. Je suis vraiment désolé.

 

"Dans l'onglet Driver, réparer les index SSDT suivants" > Je ne sais pas ce qu'est un "index SSDT" ni où ils se trouvent. "Suivants"? de quelle liste sagit-il (votre texte ne cite pas de liste de SSDT. Où se trouve cette liste des "SSDT suivants"?

 

Désolé de ne pas comprendre ce qui semble évident à tous. Concretement où dois-je cliquer? Quels élements sélectionner? Où de trouvent ces élements?

 

"réparer les index [...] en faisant un clic droit sur leur ligne => Restaurer SSDT" > J'ai selectionné les lignes de l'onglet "Driver" et cliqué sur le bouton "Restaurer". Voir l'image suivante:

http://www.casimages.com/img.php?i=120817122238163608.jpg

 

Ca n'était pas ce qu'il fallait faire?

 

"Sauf avis contraire, ne touchez pas aux index SSDT" > Je ne comprend pas comment "ne pas toucher aux index SSDT" alors que je dois par ailleurs cliquer dessus pour "les réparer"?

 

Bref, est-ce que vous pourriez me dire où cliquer concrêtement? "cliquez sur le bouton X" serait une explication plus simple à comprendre pour un débutant comme moi qu'une explication du type "activer le protocole RFFT sans toucher au protocole RFFT". J'espère être clair, et encore une fois je suis désolé de ne pas mieux comprendre.

 

Merci pour votre patience.

Modifié le 16 août 2012 par ThomassssS

[ThomassssS]

Voilà, le scan Malwarebytes Anti-Malware s'est enfin terminé (presque 12h!).

 

Voici le rapport.

 

Lien CJoint.com BHrgAwFGsdg

[pear]

"Sauf avis contraire, ne touchez pas aux index SSDT" > Je ne comprend pas comment "ne pas toucher aux index SSDT" alors que je dois par ailleurs cliquer dessus pour "les réparer"?

 

Ne vous en occupez pas.

 

Lancez cet outil de diagnostic:

Zhpdiag 1.31

 

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Sur le bureau ,il y aura 3 icônes

 

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

 

 

Cliquez sur le bouton en haut, à droite et choisissez Tous

Pour éviter un blocage, décochez 045 et 061

 

Clic sur la Loupe en haut, à gauche pour lancer le scan

Postez le rapport ZhpDiag.txt qui apparait sur le bureau

 

Comment poster les rapports

Cliquez sur ce bouton en haut, à droite

Appuyez sur Parcourir et chercher le rapport ,

Cliquer sur Envoyer

>> dans la page suivante -->

Cliquer Pjjoint Uploader ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

[ThomassssS]

Bonjour,

 

Le rapport de ZhpDiag est là:

 

pjjoint.malekal.com - Submit a file

[pear]

Spybot, totalement obsolète doit être désinstallé.

Vous pourriez utiliser Mbam (Malewares Bytes)pour le remplacer.

Téléchargez MBAM

ICI

ou LA

Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Sous Vista, exécuter avec privilèges Administrateur

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :

C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots

Et sous Vista :

C:\ProgramData\Spybot - Search & Destroy\Snapshots

Si vous ne trouvez pas Snapshots, poursuivez la procédure sans vous en préoccuper

 

 

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document

Vous ne verrez rien avant d'avoir Cliqué sur le H-

 

[MD5.32778E2C5F60DA445DB6644BCAD73F96] - (.Spigot, Inc. - Search Settings.) -- C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe [1095560] [PID.2536] => Infection PUP (PUP.Dealio)

[MD5.0805ECF10476A091999E4D59D0DB71A2] - (.Spigot, Inc. - Application Updater.) -- C:\Program Files\Application Updater\ApplicationUpdater.exe [794560] [PID.] => Infection PUP (PUP.Dealio)

M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\wtxpcom@mybrowserbar.com => Infection BT (Adware.WidgiToolbar)

R3 - URLSearchHook: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} . (.Spigot, Inc. - Widgi Toolbar for Internet Explorer.) (6, 2, 0, 2) -- C:\Program Files\pdfforge Toolbar\IE\6.2\pdfforgeToolbarIE.dll => Infection BT (Adware.WidgiToolbar)

O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} . (.Spigot, Inc. - Widgi Toolbar for Internet Explorer.) -- C:\Program Files\pdfforge Toolbar\IE\6.2\pdfforgeToolbarIE.dll => Infection BT (Adware.WidgiToolbar)

O3 - Toolbar: pdfforge Toolbar - [HKLM]{B922D405-6D13-4A2B-AE89-08A030DA4402} . (.Spigot, Inc. - Widgi Toolbar for Internet Explorer.) -- C:\Program Files\pdfforge Toolbar\IE\6.2\pdfforgeToolbarIE.dll => Infection BT (Adware.WidgiToolbar)

O4 - HKLM\..\Run: [searchSettings] . (.Spigot, Inc. - Search Settings.) -- C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe => Infection PUP (PUP.Dealio)

O23 - Service: Application Updater (Application Updater) . (.Spigot, Inc. - Application Updater.) - C:\Program Files\Application Updater\ApplicationUpdater.exe => Infection PUP (PUP.Dealio)

O42 - Logiciel: pdfforge Toolbar v6.2 - (.Spigot, Inc..) [HKLM] -- {2511D82C-2688-41C2-ABF8-AF237795989B} => Infection BT (PUP.Dealio)

[HKCU\Software\AppDataLow\Software\Search Settings] => Infection PUP (PUP.Dealio)

[HKLM\Software\Application Updater] => Infection PUP (PUP.Dealio)

[HKLM\Software\Search Settings] => Infection PUP (PUP.Dealio)

[HKLM\Software\pdfforge] => Infection BT (PUP.Dealio)

O43 - CFD: 30/07/2012 - 10:42:45 - [0,758] ----D C:\Program Files\Application Updater => Infection PUP (PUP.Dealio)

O43 - CFD: 30/07/2012 - 10:42:46 - [1,333] ----D C:\Program Files\pdfforge Toolbar => Infection BT (Adware.WidgiToolbar)

O43 - CFD: 19/06/2012 - 19:00:48 - [0,098] ----D C:\Program Files\pdfforge Toolbar(14) => Infection BT (PUP.Dealio)

O43 - CFD: 27/05/2011 - 13:50:23 - [14,048] ----D C:\Program Files\Common Files\Spigot => Infection PUP (PUP.Dealio)

O43 - CFD: 23/01/2012 - 11:50:38 - [0,001] ----D C:\Users\Laurent\AppData\Roaming\pdfforge => Infection BT (PUP.Dealio)

O53 - SMSR:HKLM\...\startupreg\SearchSettings [Key] . (.Spigot, Inc. - Search Settings.) -- C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe => Infection BT (PUP.Dealio)

O83 - Search Svchost Services: xwzveibu (xwzveibu) . (...) -- C:\Windows\system32\ypgvsaym.dll [0] => Infection Diverse (Trojan.Agent)

[HKLM\Software\Classes\Installer\Features\7A931B0A5D8E8E947AFB2124E1562280] => Infection PUP (PUP.Dealio)

[HKLM\SYSTEM\CurrentControlSet\Services\Application Updater] => Infection PUP (PUP.Dealio)

[HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings] => Infection PUP (PUP.Dealio)

[HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks]:{B922D405-6D13-4A2B-AE89-08A030DA4402} => Infection BT (PUP.Dealio)

[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{B922D405-6D13-4A2B-AE89-08A030DA4402} => Infection BT (PUP.Dealio)

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:SearchSettings => Infection BT (PUP.Dealio)

C:\Program Files\Application Updater => Infection PUP (PUP.Dealio)

C:\Program Files\pdfforge Toolbar => Infection BT (Adware.WidgiToolbar)

C:\Program Files\Common Files\Spigot => Infection PUP (PUP.Dealio)

C:\Users\Laurent\AppData\Roaming\pdfforge => Infection BT (PUP.Dealio)

C:\Users\Laurent\AppData\LocalLow\pdfforge => Infection BT (PUP.Dealio)

C:\Users\Laurent\AppData\LocalLow\Search Settings => Infection PUP (PUP.Dealio)

SR - | Auto 26/07/2012 794560 | (Application Updater) . (.Spigot, Inc..) - C:\Program Files\Application Updater\ApplicationUpdater.exe => Infection PUP (PUP.Dealio)

detected hooks:

[MD5.00000000000000000000000000000000] [APT] [{1FB08AB7-FBFE-4352-A23A-5EE8EFEBF0C6}] (...) -- C:\Users\Laurent\Downloads\ll\Fontlab\FLS5WinFull.exe (.not file.) => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [{21E8BA7A-392F-465C-AAEC-E8CBBB635DC0}] (...) -- E:\Gravure\Nero 6\Nero 6.0.0.11 Full FR + Keygen + adon+ All plugin\Nero + langue FR\NBR60011FRA.exe (.not file.) => Crack, KeyGen, Keymaker - Possible Malware

[MD5.00000000000000000000000000000000] [APT] [{54DDA770-16A9-44C8-A17B-A6AE471F6542}] (...) -- C:\Users\Laurent\Downloads\Install_Contacta_Pro.exe (.not file.) => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [{6461AB82-9BAF-4375-A47F-F918EB51EA28}] (...) -- C:\Users\Laurent\Downloads\RegCleaner.exe (.not file.) => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [{E72B039F-C328-4D05-B3D3-A9BF4BF62490}] (...) -- E:\XLN Audio Addictive Drums v1.1.1 Setup\XLN Audio Addictive Drums v1.1.1 Setup.exe (.not file.) => Fichier absent

O43 - CFD: 24/03/2011 - 12:43:30 - [1,114] ----D C:\Program Files\Spybot - Search & Destroy => Spybot - Search & Destroy

O43 - CFD: 27/12/2008 - 12:01:29 - [0] ----D C:\Users\Laurent\AppData\Local\TempInsight Software => Empty Folder not necessary

O43 - CFD: 09/11/2011 - 22:07:07 - [0] ----D C:\Users\Laurent\AppData\Local\{657B3C8F-7782-4059-837D-24A245699863} => Empty Folder not necessary

O53 - SMSR:HKLM\...\startupreg\SSBkgdUpdate [Key] . (.Nuance Communications, Inc. - SSBkgdUpdate.) -- C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe

 

SysRestore

EmptyFlash

EmptyTemp

FirewallRaz

Proxyfix

Hostfix

 

 

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

Cliquer sur "Tous" puis sur "Nettoyer" .

Redémarrer pour achever le nettoyage.

Un rapport apparait:

Si le rapport n'apparait pas,cliquer sur

Copier-coller le rapport de suppression dans la prochaine réponse.

[ThomassssS]

Merci pour votre message.

 

Spybot n'est pas installé sur ma machine. Je l'avais installé il y a longtemps mais je l'ai désinstallé depuis.

Il n'apparait donc pas la liste des logiciels installés dans "Panneau de configuration > Programmes et fonctionnalités". Je ne peux donc pas le désinstaller.

 

Il reste toutefois des traces de ce logiciel sur mon DD puisque j'ai un dossier "Spybot - Search & Destroy" dans C:\Program Files. Dans ce dossier, il y a juste un seul fichier "advcheck.dll".

 

j'ajoute que C:\ProgramData\Spybot - Search & Destroy\Snapshots n'existe pas sur mon DD.

 

Autre précision: MBAM est déjà installé sur ma machine.

 

Est-ce que je peux continuer la procédure en sautant les premières étapes de votre message dernier qui consistent à désinstaller Spybot et (ré)installer MBAM, et directement passer à l'étape de nettoyage avec Zhpfix ?

[pear]

Est-ce que je peux continuer la procédure en sautant les premières étapes de votre message dernier qui consistent à désinstaller Spybot et (ré)installer MBAM, et directement passer à l'étape de nettoyage avec Zhpfix ?

 

Oui.

Les traces de Spybot seront effacées par Zhpfix.

[ThomassssS]

Parfait merci. Voici le rapport

(dans la nouvelle version de Zhpfix le rapport apparait juste à la fin du scan et avant le redémarage de la machine. Pas après. Après le redémarage on ne peut pas retrouver le rapport parce que l'icone indiquée dans votre message n'existe plus dans la nouvelle interface. Hereusement pour moi j'avais sauvegarder le rapport avant de redéamrer. Le voici:

 

Rapport de ZHPFix 1.2.07 par Nicolas Coolman, Update du 20/07/2012

Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-17-08-2012-14-50-34.txt

Run by Laurent at 17/08/2012 14:50:34

Windows Vista Business Edition, 32-bit Service Pack 1 (Build 6001)

Web site : ZHPFix Fix de rapport

Web site : Blog de NicolasCoolman - ZebHelpProcess - Skyrock.com

 

========== Logiciel(s) ==========

SUPPRIME pdfforge Toolbar v6.2

 

========== Processus mémoire ==========

SUPPRIME Memory Process: C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe

SUPPRIME Memory Process: C:\Program Files\Application Updater\ApplicationUpdater.exe

 

========== Clé(s) du Registre ==========

SUPPRIME Key*: CLSID BHO: {B922D405-6D13-4A2B-AE89-08A030DA4402}

SUPPRIME Key*: Service: Application Updater

SUPPRIME Key*: HKCU\Software\AppDataLow\Software\Search Settings

SUPPRIME Key*: HKLM\Software\Application Updater

SUPPRIME Key*: HKLM\Software\Search Settings

SUPPRIME Key*: HKLM\Software\pdfforge

SUPPRIME Key*: StartupReg: SearchSettings

SUPPRIME Key*: Services Svchost: xwzveibu

SUPPRIME Key*: HKLM\Software\Classes\Installer\Features\7A931B0A5D8E8E947AFB2124E1562280

ABSENT Key: HKLM\SYSTEM\CurrentControlSet\Services\Application Updater

ABSENT Key: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings

ABSENT Key: Service: Application Updater

SUPPRIME Key*: StartupReg: SSBkgdUpdate

 

========== Valeur(s) du Registre ==========

SUPPRIME URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402}

SUPPRIME Toolbar: {B922D405-6D13-4A2B-AE89-08A030DA4402}

SUPPRIME RunValue: SearchSettings

ABSENT [HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks]:{B922D405-6D13-4A2B-AE89-08A030DA4402}

ABSENT [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{B922D405-6D13-4A2B-AE89-08A030DA4402}

ABSENT [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:SearchSettings

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

SUPPRIME FirewallRaz (Public) : {600E5572-BA99-43FA-BB99-5BFA1CF34070}

SUPPRIME FirewallRaz (Public) : {C633D44B-28AC-4B9E-BF78-5AA52A6D8991}

SUPPRIME FirewallRaz (Public) : {2D08C997-86DB-431E-91EA-08666CF4A16B}

SUPPRIME FirewallRaz (Public) : {7F74F891-90EE-4DDA-98A0-9C738EA6AF13}

SUPPRIME FirewallRaz (Public) : {EFFA2415-9210-44E4-928F-A38391BE6919}

SUPPRIME FirewallRaz (Public) : {546BFD4B-3241-4FB7-B6ED-7B66EE2E6F6F}

ProxyFix : Configuration proxy supprimée avec succès

SUPPRIME ProxyServer Value

SUPPRIME ProxyEnable Value

SUPPRIME EnableHttp1_1 Value

SUPPRIME ProxyHttp1.1 Value

SUPPRIME ProxyOverride Value

 

========== Dossier(s) ==========

SUPPRIME Folder: C:\Program Files\Application Updater

ABSENT C:\Program Files\pdfforge Toolbar

SUPPRIME Folder: C:\Program Files\pdfforge Toolbar(14)

SUPPRIME Reboot Folder**: C:\Program Files\Common Files\Spigot

SUPPRIME Folder: C:\Users\Laurent\AppData\Roaming\pdfforge

SUPPRIME Folder: c:\users\laurent\appdata\locallow\search settings

SUPPRIME Folder: C:\Program Files\Spybot - Search & Destroy

SUPPRIME Folder: C:\Users\Laurent\AppData\Local\TempInsight Software

SUPPRIME Folder: C:\Users\Laurent\AppData\Local\{657B3C8F-7782-4059-837D-24A245699863}

SUPPRIME Flash Cookies:

SUPPRIME Temporaires Windows:

 

========== Fichier(s) ==========

SUPPRIME File***: c:\program files\common files\spigot\search settings\searchsettings.exe

SUPPRIME File***: c:\program files\application updater\applicationupdater.exe

SUPPRIME File: c:\program files\mozilla firefox\extensions\wtxpcom@mybrowserbar.com

ABSENT File: c:\program files\pdfforge toolbar\ie\6.2\pdfforgetoolbarie.dll

ABSENT File: c:\program files\common files\spigot\search settings\searchsettings.exe

ABSENT File: c:\program files\application updater\applicationupdater.exe

ABSENT File: c:\windows\system32\ypgvsaym.dll

ABSENT Folder/File: c:\program files\application updater

ABSENT Folder/File: c:\program files\pdfforge toolbar

ABSENT Folder/File: c:\users\laurent\appdata\roaming\pdfforge

ABSENT Folder/File: c:\users\laurent\appdata\locallow\pdfforge

SUPPRIME File: c:\program files\common files\scansoft shared\ssbkgdupdate\ssbkgdupdate.exe

SUPPRIME Flash Cookies:

SUPPRIME Temporaires Windows:

 

========== Tache planifiée ==========

SUPPRIME Task: {1FB08AB7-FBFE-4352-A23A-5EE8EFEBF0C6}

SUPPRIME Task: {21E8BA7A-392F-465C-AAEC-E8CBBB635DC0}

SUPPRIME Task: {54DDA770-16A9-44C8-A17B-A6AE471F6542}

SUPPRIME Task: {6461AB82-9BAF-4375-A47F-F918EB51EA28}

SUPPRIME Task: {E72B039F-C328-4D05-B3D3-A9BF4BF62490}

 

========== Restauration Système ==========

Point de restauration du système créé avec succès

 

========== Autre ==========

NON TRAITE detected hooks:

 

 

========== Récapitulatif ==========

2 : Processus mémoire

13 : Clé(s) du Registre

20 : Valeur(s) du Registre

11 : Dossier(s)

14 : Fichier(s)

1 : Logiciel(s)

5 : Tache planifiée

1 : Restauration Système

1 : Autre

 

 

End of clean in 03mn 46s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 17/08/2012 14:50:34 [5000]

[pear]

Comment va la machine ?

[ThomassssS]

Aucune évolution. Les symptôme de l'infection sont les mêmes qu'au début.

 

- Un dossier "System Check" est apparu dans le menu "Démarrer".

- Les icônes de raccourcis dans le menu Démarrer ont disparues et je n epeux pas en ajouter.

- Les fichiers n'ont plus d’extensions et je ne peux ouvrir certains fichiers comme les *.txt par exemple qu'en les associant au bloc note de windows à chaque ouverture.

- Les logiciels que j'avais placé dans le démarrage de Windows ne se lancent plus à l'ouverture de l'OS.

- Toutes les données de mon agenda Outlook ont disparues.

- Je ne peux pas ouvrir certains logiciels comme Google Chrome.

 

Le nettoyage avec Zhpfix à juste changé les paramètres de résolution de mon écran pour les remettre à la résolution native.

Modifié le 17 août 2012 par ThomassssS