[Résolu] Infection, une de plus...

[Dic]

Bonjour à tous,

me voilà de nouveau avec un autre pc infecté, celui de mon voisin cette fois (j'aime rendre service ^^)

 

Le synptôme était que tous les téléchargements s'effaçaient dès leurs arrivées sur le pc, j'ai donc pensé à un virus.

J'ai également un soucis pour accéder à la partition de restauration "bootmgr absent"

J'ai suivi la procédure que Bernard53 m'a donné: PUP.funmoods et blabbers & Co - Forums Zebulon.fr

 

La différence est que la première fois je me suis laissé guidé complètement par Bernard53 (merci encore à lui) mais cette fois j'aimerais en savoir un peu plus pour apprendre et devenir autonome au fur et à mesure (oui la tache sera rude je sais ).

 

Donc dans un premier temps, voici les différents rapports que je peux vous fournir:

 

Rogue Killer avant:

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows Vista (6.0.6000 ) 32 bits version

Demarrage : Mode sans echec

Utilisateur : easycash [Droits d'admin]

Mode : Recherche -- Date : 08/05/2013 21:53:31

| ARK || FAK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 7 ¤¤¤

[sHELL][sUSP PATH] HKCU\[...]\Windows : Load (C:\Users\easycash\Local Settings\Temp\msqpbpwuo.pif) [x] -> TROUVÉ

[sHELL][sUSP PATH] HKUS\S-1-5-21-3704348680-2042698974-3416384172-1000[...]\Windows : Load (C:\Users\easycash\Local Settings\Temp\msqpbpwuo.pif) [x] -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-3704348680-2042698974-3416384172-1000\$cc16f28d54855b3f4708dfe5c73598bd\n) [-] -> TROUVÉ

[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$cc16f28d54855b3f4708dfe5c73598bd\n) [-] -> TROUVÉ

[HJ INPROC][ZeroAccess] HKLM\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$cc16f28d54855b3f4708dfe5c73598bd\n) [-] -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$cc16f28d54855b3f4708dfe5c73598bd\n [-] --> TROUVÉ

[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-3704348680-2042698974-3416384172-1000\$cc16f28d54855b3f4708dfe5c73598bd\n [-] --> TROUVÉ

[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$cc16f28d54855b3f4708dfe5c73598bd\@ [-] --> TROUVÉ

[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-3704348680-2042698974-3416384172-1000\$cc16f28d54855b3f4708dfe5c73598bd\@ [-] --> TROUVÉ

[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$cc16f28d54855b3f4708dfe5c73598bd\U --> TROUVÉ

[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-3704348680-2042698974-3416384172-1000\$cc16f28d54855b3f4708dfe5c73598bd\U --> TROUVÉ

[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-18\$cc16f28d54855b3f4708dfe5c73598bd\L --> TROUVÉ

[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-3704348680-2042698974-3416384172-1000\$cc16f28d54855b3f4708dfe5c73598bd\L --> TROUVÉ

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST3160212AS ATA Device +++++

--- User ---

[MBR] 870043ae299e0d4f91b0d615aa05c0cf

[bSP] 6e5e30295a3ea61d5545e1ef44d6496f : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 8192 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16779264 | Size: 144433 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: Intuix U3 USB Device +++++

--- User ---

[MBR] 95645b5a0c2da9adb5963fdcb9f78cc8

[bSP] 096ca65415799301792a33c93b5e78da : Windows XP MBR Code

Partition table:

0 - [ACTIVE] FAT32 (0x0b) [VISIBLE] Offset (sectors): 32 | Size: 480 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[1]_S_08052013_215331.txt >>

RKreport[1]_S_08052013_215331.txt

 

Rogue Killer après :

 

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows Vista (6.0.6000 ) 32 bits version

Demarrage : Mode sans echec

Utilisateur : easycash [Droits d'admin]

Mode : Suppression -- Date : 08/05/2013 21:55:09

| ARK || FAK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 5 ¤¤¤

[sHELL][sUSP PATH] HKCU\[...]\Windows : Load (C:\Users\easycash\Local Settings\Temp\msqpbpwuo.pif) [x] -> SUPPRIMÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-3704348680-2042698974-3416384172-1000\$cc16f28d54855b3f4708dfe5c73598bd\n) [-] -> REMPLACÉ (C:\Windows\system32\shell32.dll)

[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$cc16f28d54855b3f4708dfe5c73598bd\n) [-] -> REMPLACÉ (C:\Windows\system32\wbem\fastprox.dll)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$cc16f28d54855b3f4708dfe5c73598bd\n [-] --> SUPPRIMÉ AU REBOOT

[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-3704348680-2042698974-3416384172-1000\$cc16f28d54855b3f4708dfe5c73598bd\n [-] --> SUPPRIMÉ

[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$cc16f28d54855b3f4708dfe5c73598bd\@ [-] --> SUPPRIMÉ

[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-3704348680-2042698974-3416384172-1000\$cc16f28d54855b3f4708dfe5c73598bd\@ [-] --> SUPPRIMÉ

[Del.Parent][FILE] 80000000.@ : C:\$recycle.bin\S-1-5-18\$cc16f28d54855b3f4708dfe5c73598bd\U\80000000.@ [-] --> SUPPRIMÉ

[Del.Parent][FILE] 800000cb.@ : C:\$recycle.bin\S-1-5-18\$cc16f28d54855b3f4708dfe5c73598bd\U\800000cb.@ [-] --> SUPPRIMÉ

[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$cc16f28d54855b3f4708dfe5c73598bd\U --> SUPPRIMÉ

[Del.Parent][FILE] 00000001.@ : C:\$recycle.bin\S-1-5-21-3704348680-2042698974-3416384172-1000\$cc16f28d54855b3f4708dfe5c73598bd\U\00000001.@ [-] --> SUPPRIMÉ

[Del.Parent][FILE] 80000000.@ : C:\$recycle.bin\S-1-5-21-3704348680-2042698974-3416384172-1000\$cc16f28d54855b3f4708dfe5c73598bd\U\80000000.@ [-] --> SUPPRIMÉ

[Del.Parent][FILE] 800000cb.@ : C:\$recycle.bin\S-1-5-21-3704348680-2042698974-3416384172-1000\$cc16f28d54855b3f4708dfe5c73598bd\U\800000cb.@ [-] --> SUPPRIMÉ

[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-3704348680-2042698974-3416384172-1000\$cc16f28d54855b3f4708dfe5c73598bd\U --> SUPPRIMÉ

[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$cc16f28d54855b3f4708dfe5c73598bd\L --> SUPPRIMÉ

[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-3704348680-2042698974-3416384172-1000\$cc16f28d54855b3f4708dfe5c73598bd\L --> SUPPRIMÉ

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST3160212AS ATA Device +++++

--- User ---

[MBR] 870043ae299e0d4f91b0d615aa05c0cf

[bSP] 6e5e30295a3ea61d5545e1ef44d6496f : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 8192 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16779264 | Size: 144433 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: Intuix U3 USB Device +++++

--- User ---

[MBR] 95645b5a0c2da9adb5963fdcb9f78cc8

[bSP] 096ca65415799301792a33c93b5e78da : Windows XP MBR Code

Partition table:

0 - [ACTIVE] FAT32 (0x0b) [VISIBLE] Offset (sectors): 32 | Size: 480 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[2]_D_08052013_215509.txt >>

RKreport[1]_S_08052013_215331.txt ; RKreport[2]_D_08052013_215509.txt

 

ADWCleaner :

 

# AdwCleaner v2.300 - Rapport créé le 08/05/2013 à 21:57:39

# Mis à jour le 28/04/2013 par Xplode

# Système d'exploitation : Windows Vista ™ Home Basic (32 bits)

# Nom d'utilisateur : easycash - PC-DE-MARC

# Mode de démarrage : Mode sans échec

# Exécuté depuis : E:\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Users\easycash\AppData\LocalLow\Toolbar4

 

***** [Registre] *****

 

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{A76AA284-E52D-47E6-9E4F-B85DBF8E35C3}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\IMBoosterARP

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{58124A0B-DC32-4180-9BFF-E0E21AE34026}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{84FF7BD6-B47F-46F8-9130-01B2696B36CB}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{977AE9CC-AF83-45E8-9E03-E2798216E2D5}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4CE516A7-F7AC-4628-B411-8F886DC5733E}

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{628F3201-34D0-49C0-BB9A-82A26AEFB291}

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\TbCommonUtils.DLL

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\TbHelper.EXE

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{02054E11-5113-4BE3-8153-AA8DFB5D3761}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1C950DE5-D31E-42FB-AFB9-91B0161633D8}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3BDF4CE9-E81D-432B-A55E-9F0570CE811F}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{57CADC46-58FF-4105-B733-5A9F3FC9783C}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{58124A0B-DC32-4180-9BFF-E0E21AE34026}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{977AE9CC-AF83-45E8-9E03-E2798216E2D5}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{9F34B17E-FF0D-4FAB-97C4-9713FEE79052}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A9A56B8E-2DEB-4ED3-BC92-1FA450BCE1A5}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AE338F6D-5A7C-4D1D-86E3-C618532079B5}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{C339D489-FABC-41DD-B39D-276101667C70}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D565B35E-B787-40FA-95E3-E3562F8FC1A0}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D89031C2-10DA-4C90-9A62-FCED012BC46B}

Clé Supprimée : HKLM\SOFTWARE\Classes\ComObject.DeskbarEnabler

Clé Supprimée : HKLM\SOFTWARE\Classes\ComObject.DeskbarEnabler.1

Clé Supprimée : HKLM\Software\Classes\Installer\Features\482AA67AD25E6E74E9F48BD5FBE8533C

Clé Supprimée : HKLM\Software\Classes\Installer\Products\482AA67AD25E6E74E9F48BD5FBE8533C

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{01221FCC-4BFB-461C-B08C-F6D2DF309921}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{021B4049-F57D-4565-A693-FD3B04786BFA}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0362AA09-808D-48E9-B360-FB51A8CBCE09}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{06844020-CD0B-3D3D-A7FE-371153013E49}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0ADC01BB-303B-3F8E-93DA-12C140E85460}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10D3722F-23E6-3901-B6C1-FF6567121920}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1675E62B-F911-3B7B-A046-EB57261212F3}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{192929F2-9273-3894-91B0-F54671C4C861}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2932897E-3036-43D9-8A64-B06447992065}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2A42D13C-D427-4787-821B-CF6973855778}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2DE92D29-A042-3C37-BFF8-07C7D8893EFA}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{32B80AD6-1214-45F4-994E-78A5D482C000}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3A8E103F-B2B7-3BEF-B3B0-88E29B2420E4}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3D8478AA-7B88-48A9-8BCB-B85D594411EC}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{452AE416-9A97-44CA-93DA-D0F15C36254F}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{45CDA4F7-594C-49A0-AAD1-8224517FE979}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{478CE5D3-D38E-3FFE-8DBE-8C4A0F1C4D8D}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{48B7DA4E-69ED-39E3-BAD5-3E3EFF22CFB0}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4D8ED2B3-DC62-43EC-ABA3-5B74F046B1BE}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5982F405-44E4-3BBB-BAC4-CF8141CBBC5C}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5D8C3CC3-3C05-38A1-B244-924A23115FE9}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{641593AF-D9FD-30F7-B783-36E16F7A2E08}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{711FC48A-1356-3932-94D8-A8B733DBC7E4}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{72227B7F-1F02-3560-95F5-592E68BACC0C}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{7B5E8CE3-4722-4C0E-A236-A6FF731BEF37}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{81E852CC-1FD5-4004-8761-79A48B975E29}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{890D4F59-5ED0-3CB4-8E0E-74A5A86E7ED0}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8C68913C-AC3C-4494-8B9C-984D87C85003}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8D019513-083F-4AA5-933F-7D43A6DA82C4}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{923F6FB8-A390-370E-A0D2-DD505432481D}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{95B6A271-FEB4-4160-B0FF-44394C21C8DC}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9BBB26EF-B178-35D6-9D3D-B485F4279FE5}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A62DDBE0-8D2A-339A-B089-8CBCC5CD322A}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A82AD04D-0B8E-3A49-947B-6A69A8A9C96D}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{ADEB3CC9-A05D-4FCC-BD09-9025456AA3EA}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B06D4521-D09C-3F41-8E39-9D784CCA2A75}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B2CA345D-ADB8-4F5D-AC64-4AB34322F659}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B9F43021-60D4-42A6-A065-9BA37F38AC47}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{BF921DD3-732A-4A11-933B-A5EA49F2FD2C}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C06DAD42-6F39-4CE1-83CC-9A8B9105E556}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2E799D0-43A5-3477-8A98-FC5F3677F35C}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D16107CD-2AD5-46A8-BA59-303B7C32C500}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D25B101F-8188-3B43-9D85-201F372BC205}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D2BA7595-5E44-3F1E-880F-03B3139FA5ED}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D35F5C81-17D9-3E1C-A1FC-4472542E1D25}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D83B296A-2FA6-425B-8AE8-A1F33D99FBD6}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D8FA96CA-B250-312C-AF34-4FF1DD72589D}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DAFC1E63-3359-416D-9BC2-E7DCA6F7B0F3}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DC5E5C44-80FD-3697-9E65-9F286D92F3E7}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E1B4C9DE-D741-385F-981E-6745FACE6F01}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E67D5BC7-7129-493E-9281-F47BDAFACE4F}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E7B623F5-9715-3F9F-A671-D1485A39F8A2}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{ED916A7B-7C68-3198-B87D-2DABC30A5587}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EFA1BDB2-BB3D-3D9A-8EB5-D0D22E0F64F4}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F4CBF4DD-F8FE-35BA-BB7E-68304DAAB70B}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FC32005D-E27C-32E0-ADFA-152F598B75E7}

Clé Supprimée : HKLM\SOFTWARE\Classes\TbCommonUtils.CommonUtils

Clé Supprimée : HKLM\SOFTWARE\Classes\TbCommonUtils.CommonUtils.1

Clé Supprimée : HKLM\SOFTWARE\Classes\TbHelper.TbDownloadManager

Clé Supprimée : HKLM\SOFTWARE\Classes\TbHelper.TbDownloadManager.1

Clé Supprimée : HKLM\SOFTWARE\Classes\TbHelper.TbPropertyManager

Clé Supprimée : HKLM\SOFTWARE\Classes\TbHelper.TbPropertyManager.1

Clé Supprimée : HKLM\SOFTWARE\Classes\TbHelper.TbRequest

Clé Supprimée : HKLM\SOFTWARE\Classes\TbHelper.TbRequest.1

Clé Supprimée : HKLM\SOFTWARE\Classes\TbHelper.TbTask

Clé Supprimée : HKLM\SOFTWARE\Classes\TbHelper.TbTask.1

Clé Supprimée : HKLM\SOFTWARE\Classes\TbHelper.ToolbarHelper

Clé Supprimée : HKLM\SOFTWARE\Classes\TbHelper.ToolbarHelper.1

Clé Supprimée : HKLM\SOFTWARE\Classes\TBSB01620.IEToolbar

Clé Supprimée : HKLM\SOFTWARE\Classes\TBSB01620.IEToolbar.1

Clé Supprimée : HKLM\SOFTWARE\Classes\TBSB01620.TBSB01620

Clé Supprimée : HKLM\SOFTWARE\Classes\TBSB01620.TBSB01620.3

Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.ContextMenuNotifier

Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.ContextMenuNotifier.1

Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.CustomInternetSecurityImpl

Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.CustomInternetSecurityImpl.1

Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.TBSB01620

Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.TBSB01620.1

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2BF2028E-3F3C-4C05-AB45-B2F1DCFE0759}

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{B87F8B63-7274-43FD-87FA-09D3B7496148}

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{C4BAE205-5E02-4E32-876E-F34B4E2D000C}

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{DB538320-D3C5-433C-BCA9-C4081A054FCF}

Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{EC4085F2-8DB3-45A6-AD0B-CA289F3C5D7E}

Clé Supprimée : HKLM\SOFTWARE\Classes\URLSearchHook.ToolbarURLSearchHook

Clé Supprimée : HKLM\SOFTWARE\Classes\URLSearchHook.ToolbarURLSearchHook.1

Clé Supprimée : HKLM\Software\Iminent

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48D2-9061-8BBD4899EB08}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{58124A0B-DC32-4180-9BFF-E0E21AE34026}

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5AF25BBA9EECCDB41923C3FE08497C67

Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\482AA67AD25E6E74E9F48BD5FBE8533C

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A76AA284-E52D-47E6-9E4F-B85DBF8E35C3}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchTheWebARP

Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{977AE9CC-AF83-45E8-9E03-E2798216E2D5}]

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{977AE9CC-AF83-45E8-9E03-E2798216E2D5}]

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v7.0.6000.16982

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v18.0.1 (fr)

 

Fichier : C:\Users\easycash\AppData\Roaming\Mozilla\Firefox\Profiles\2rafybop.default\prefs.js

 

C:\Users\easycash\AppData\Roaming\Mozilla\Firefox\Profiles\2rafybop.default\user.js ... Supprimé !

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

-\\ Google Chrome v26.0.1410.64

 

Fichier : C:\Users\easycash\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[s1].txt - [12367 octets] - [08/05/2013 21:57:39]

 

########## EOF - C:\AdwCleaner[s1].txt - [12428 octets] ##########

 

Enfin le log ZHPDiag ici : zhpdiag

 

Et si besoin j'ai également le log HiJackThis et AVScan

Modifié le 11 mai 2013 par Dic

[Apollo]

Bonjour,

 

Tu as eu affaire au rootkit zeroaccess, l'une des plus belles crasses à choper.

 

Malheureusement, les désinfections ne se font pas toujours avec les mêmes outils; ce serait trop facile pardi...

 

Tu dois également savoir que lorsqu'un pc a été complètement désinfecté, il faut faire des mises à jour de sécurité: du système et des applications diverses présentes sur le pc, comme java, flash player, etc.

 

La prévention est aussi, sinon plus importante qu'une désinfection; cela permet d'avoir un système mieux protégé, car des failles de sécurité sont "bouchées" momentanément grâce à ces mises à jour. Mais cela se fait toujours à la fin des procédures.

 

1) Télécharge Junkware Removal Tool sur le bureau: Junkware Removal Tool Download

 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

 

Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

 

Afin de ne pas fausser les rapports, ne passer les outils qu'une seule fois svp!

 

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

Poste le rapport généré à la fin de l'analyse.

 

NB: Le bureau disparaitra un instant, c'est normal.

 

 

 

 

---------------------------------

2) Télécharger SFTGC.exe sur le Bureau >>>> il ne peut pas être ailleurs!

 

Sous XP, double cliquer sur le fichier.

Sous les autres versions de Windows, clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.

 

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

 

Un rapport va s'ouvrir à la fin.

Ce rapport est sur le bureau (SFT.txt)

 

Héberger sur Accueil de Cjoint.com pour ne pas planter le sujet.

 

-------------------

3) Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau. Malwarebytes : Téléchargement gratuit anti-malware, antivirus et anti-espion

 

Télécharger Malwarebytes´ Anti-Malware - Logithèque PC Astuces

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

A la fin de l'installation, décocher la case proposant l'essai de la version Pro.

 

 

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

Modifié le 9 mai 2013 par Apollo

[Dic]

Bonjour,

 

Tu as eu affaire au rootkit zeroaccess, l'une des plus belles crasses à choper.

 

Malheureusement, les désinfections ne se font pas toujours avec les mêmes outils; ce serait trop facile pardi...

 

Tu dois également savoir que lorsqu'un pc a été complètement désinfecté, il faut faire des mises à jour de sécurité: du système et des applications diverses présentes sur le pc, comme java, flash player, etc.

 

La prévention est aussi, sinon plus importante qu'une désinfection; cela permet d'avoir un système mieux protégé, car des failles de sécurité sont "bouchées" momentanément grâce à ces mises à jour. Mais cela se fait toujours à la fin des procédures.

 

 

Bonjour Apollo et merci pour ta réponse

 

Effectivement si les outils étaient les mêmes à chaque fois ça m'aurait arrangé ^^ mais ça m'a permis d'en enlever un peu.

Pour les mises à jour, je suis déjà en train de faire celle du Vista SP1.

Pour la prévention, malheureusement, on ne peut pas être derrière chaque personne pour lui donner la marche à suivre ou faire les maj à sa place. Mon conseil le plus précieux que je fourni est "lisez les messages!!"

 

Pour ta procédure, j'attend la fin de l'install du SP1 et je poste les résultats.

 

J'ai une petite question bête quand même: Junkware Removal Tool et SFTGC.exe doivent ils être lancé en mode sans échec?

[Apollo]

Pas spécialement pour ces outils.

 

On ne fait pas de mises à jour du système quand un pc n'est pas clean!

 

Bon c'est trop tard puisque tu as commencé avec le SP1, mais n'installe le SP2 que lorsque ce sera terminé ici.

 

@++

[Dic]

Voici les rapports demandés:

 

JRT.txt:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Junkware Removal Tool (JRT) by Thisisu

Version: 4.9.4 (05.06.2013:1)

OS: Windows Vista ™ Home Basic x86

Ran by easycash on 09/05/2013 at 15:28:57,64

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

~~~ Services

 

~~~ Registry Values

 

Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\DisplayName

Successfully repaired: [Registry Value] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\\URL

 

 

~~~ Registry Keys

 

 

~~~ Files

 

~~~ Folders

 

Successfully deleted: [Empty Folder] C:\Users\easycash\appdata\local\{47FD9092-9216-4374-8C01-9871354D942C}

Successfully deleted: [Empty Folder] C:\Users\easycash\appdata\local\{4B1729D2-AF26-4AC6-9078-6335EE031B1D}

Successfully deleted: [Empty Folder] C:\Users\easycash\appdata\local\{78A4C653-2ED0-40E4-956C-1209842447BC}

 

~~~ Event Viewer Logs were cleared

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Scan was completed on 09/05/2013 at 15:31:31,69

End of JRT log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

 

SFT.txt

Cjoint lien

 

Malwarebytes (rapport d'hier avant te faire ta procédure, et bonne nouvelle, le scan d'aujourdh'ui n'ayant rien trouvé)

 

Malwarebytes Anti-Malware 1.75.0.1300

www.malwarebytes.org

 

Version de la base de données: v2013.05.08.06

 

Windows Vista x86 NTFS (Mode sans échec)

Internet Explorer 7.0.6000.16982

easycash :: PC-DE-MARC [administrateur]

 

08/05/2013 22:33:57

mbam-log-2013-05-08 (22-33-57).txt

 

Type d'examen: Examen complet (C:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 274532

Temps écoulé: 34 minute(s), 43 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 1

C:\Users\easycash\AppData\Local\Temp\000142c1.exe (Trojan.Zbot) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

Modifié le 9 mai 2013 par Dic

[Apollo]

Ok, comment va la machine?

 

Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

Le PSI de Secunia est pratique pour connaître les failles dans diverses applications.

 

En français depuis la version 3.0. Très simple d'utilisation.

 

@++

[Dic]

Je viens de faire les petites vérif de ton lien et ma fois, une fois le Vista à jour, tout devrait être ok. J'en ai profité pour le faire sur mon pc du boulot (mon perso étant sous Ubuntu) ^^

J'ai réinstallé Firefox, les téléchargements arrivent correctement dans le répertoire, j'ai une navigation presque fluide par contre j'ai des processus svchost qui me bouffe pas mal de mémoire et un répertoire Bit Defender que je n'arrive pas à supprimer dans program files

Modifié le 12 mai 2013 par Tonton
Suppression citation inutile. Utiliser le bouton "AJOUTER UNE REPONSE" et non "REPONDRE" :-)

[Apollo]

répertoire Bit Defender que je n'arrive pas à supprimer dans program files

 

Essaie en mode sans échec. Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

Sinon, donne moi le chemin avec l'intitulé exact depuis C:\ afin d'éventuellement utiliser OTM.

 

-----------------

Fais un nouveau scan avec ZHPdiag (à jour) stp. Héberge le rapport sur cjoint.com. Merci.

 

On terminera par une analyse de choc. Parfois longue mais souvent efficace.

 

@++

[Dic]

j'ai déjà essayé en mode sans échec et en ligne de commande en mode admin (cd rep_du_fichier, del nom_du_fichier /f) et en fait il me met un accès refusé à chaque fois.

La désinstallation n'avait pas fonctionné correctement du coup il reste des miettes à droite à gauche

Modifié le 12 mai 2013 par Tonton
Suppression citation inutile. Utiliser le bouton "AJOUTER UNE REPONSE" et non "REPONDRE" :-)

[Apollo]

Un truc: réinstalle le BitDefender désinstallé puis vire-le avec REVO Uninstaller: Apollo Et Compagnie :: RevoUninstaller.

 

Tu supprimes toutes les traces en gras après la désinstallation "normale" par Revo. Ca lave plus blanc que blanc.

 

+++