[Résolu] PC infecté

[chriflojoca]

Bonsoir,

 

Je sollicite votre aide car je viens de récupérer le PC de ma soeur qui est infecté par des Malwares.

J'ai utilisé ADWCLEANER, Malwarebytes et scan avec Microsoft Securtity Essential mais des Malwares persistent (Boxore, etc.)

 

Ci-joint le rapport ZHPDiag.

 

Pouvez-vous m'indiquer la procédure à suivre. Par avance merci pour votre aide.

Modifié le 30 juillet 2013 par chriflojoca

[Apollo]

Bonsoir,

 

J'ai utilisé ADWCLEANER, Malwarebytes

 

Poste les rapports stp.

 

Je regarde le rapport ZHPD

 

++

[Apollo]

Désactive ton antivirus, firewall et antispyware le temps de procéder à ceci.

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

[MD5.083B4CBDE1241052E1603ED981338D93] - (...) -- C:\Users\Danny\AppData\Local\startertv_fr_5\upstv_fr_5.exe [3154416] [PID.2896] =>Adware.StarterTV

[MD5.F47983CEEC3969F9ABB8175971342281] - (...) -- C:\Program Files\startertv_fr_7\startertv_fr_7.exe [3950592] [PID.4032] =>Adware.StarterTV

[MD5.2C711D5D912E0998355DB30D6F26E210] - (.Wsys Co., Ltd. - Wsys Control 1.0.0.2557.) -- C:\ProgramData\eSafe\eGdpSvc.exe [376896] [PID.1704] =>PUP.eSafeSecurity

[MD5.49A18F47E802666174E3B38541E7BEB9] - (...) -- C:\Users\Danny\AppData\Local\startertv_fr_7\supstv_fr_7.exe [3055104] [PID.2232] =>Adware.StarterTV

G2 - GCE: Preference [user Data\Default] [pflphaooapbgpeakohlggbpidpppgdff] Nouvel onglet v.9.0.2, (Désactivé) =>Adware.SearchYa

M3 - MFPP: Plugins - [Danny] -- C:\Users\Danny\AppData\Roaming\Mozilla\Firefox\Profiles\9lc1fxyf.default\searchplugins\visualbee.xml => Adware.VisualBeeToolbar

M3 - MFPP: Plugins - [Danny] -- C:\Users\Danny\AppData\Roaming\Mozilla\Firefox\Profiles\9lc1fxyf.default\searchplugins\YouGoo.xml =>Hijacker.YouGoo

M2 - MFEP: prefs.js [Danny - 9lc1fxyf.default\120] [] Lyrics-Monkey v1.120 (..) =>Adware.AddLyrics

M2 - MFEP: prefs.js [Danny - 9lc1fxyf.default\c75c442b-aaba-4cef-ab20-0a865c0cd7c5@efee437d-aee9-4a06-8f22-f60e26575f5f.com] [] Savings Wave Plugin v1.120 (..) =>PUP.CrossRider

M2 - MFEP: prefs.js [Danny - 9lc1fxyf.default\ffxtlbr@babylon(23).com] [] Babylon v1.2.0 (..) =>Toolbar.Babylon

M2 - MFEP: prefs.js [Danny - 9lc1fxyf.default\ffxtlbr@visualbee.com] [] VisualBee Toolbar v1.6.0 (..) => Adware.VisualBeeToolbar

O1 - Hosts: 0.0.0.0 boxore.com =>Adware.Boxore

O1 - Hosts: 0.0.0.0 www.boxore.com =>Adware.Boxore

O1 - Hosts: 0.0.0.0 boxore.org =>Adware.Boxore

O1 - Hosts: 0.0.0.0 www.boxore.org =>Adware.Boxore

O1 - Hosts: 0.0.0.0 boxore.net =>Adware.Boxore

O1 - Hosts: 0.0.0.0 www.boxore.net =>Adware.Boxore

O1 - Hosts: 0.0.0.0 dlmanager.com =>Adware.Boxore

O1 - Hosts: 0.0.0.0 www.dlmanager.com =>Adware.Boxore

O1 - Hosts: 0.0.0.0 dlmanager.org =>Adware.Boxore

O1 - Hosts: 0.0.0.0 www.dlmanager.org =>Adware.Boxore

O1 - Hosts: 0.0.0.0 dlmanager.net =>Adware.Boxore

O1 - Hosts: 0.0.0.0 www.dlmanager.net =>Adware.Boxore

O3 - Toolbar: (no name) - [HKLM]{610AF794-9293-4129-9FAF-A81BBDFBFA14} Clé orpheline => Infection PUP (Adware.VisualBeeToolbar)

O4 - HKLM\..\Run: [startertv_fr_7] . (...) -- C:\Program Files\startertv_fr_7\startertv_fr_7.exe =>Adware.StarterTV

O4 - HKLM\..\RunOnce: [upstv_fr_5.exe] . (...) -- C:\Users\Danny\AppData\Local\startertv_fr_5\upstv_fr_5.exe =>Adware.StarterTV

O4 - GS\SendTo: Desk 365.lnk . (...) -- C:\Program Files\Desk 365\desk365.exe (.not file.) =>Hijacker.22Find

O23 - Service: supstv_fr_7 (supstv_fr_7) . (...) - C:\Users\Danny\AppData\Local\startertv_fr_7\supstv_fr_7.exe =>Adware.StarterTV

O23 - Service: Wsys Service (WsysSvc) . (.Wsys Co., Ltd. - Wsys Control 1.0.0.2557.) - C:\ProgramData\eSafe\eGdpSvc.exe =>PUP.eSafeSecurity

O39 - APT:Automatic Planified Task - C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineCore.job [888] =>PUP.DealPly

O39 - APT:Automatic Planified Task - C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineUA.job [892] =>PUP.DealPly

[MD5.00000000000000000000000000000000] [APT] [Advanced System Protector_startup] (...) -- C:\Program Files\Advanced System Protector\AdvancedSystemProtector.exe (.not file.) [0] =>PUP.AdvancedSystemProtector

[MD5.00000000000000000000000000000000] [APT] [DealPlyLiveUpdateTaskMachineCore] (...) -- C:\Program Files\DealPlyLive\Update\DealPlyLive.exe (.not file.) [0] =>PUP.DealPly

[MD5.00000000000000000000000000000000] [APT] [DealPlyLiveUpdateTaskMachineUA] (...) -- C:\Program Files\DealPlyLive\Update\DealPlyLive.exe (.not file.) [0] =>PUP.DealPly

[MD5.00000000000000000000000000000000] [APT] [DealPlyUpdate] (...) -- C:\Program Files\DealPly\DealPlyUpdate.exe (.not file.) [0] =>PUP.DealPly

[MD5.00000000000000000000000000000000] [APT] [Desk 365 RunAsStdUser] (...) -- C:\Program Files\Desk 365\desk365.exe (.not file.) [0] =>Hijacker.22Find

[MD5.00000000000000000000000000000000] [APT] [EPUpdater] (...) -- C:\Users\Danny\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe (.not file.) [0] =>Hijacker.BabSolution

[MD5.00000000000000000000000000000000] [APT] [RegClean Pro] (...) -- C:\Program Files\RegClean Pro\RegCleanPro.exe (.not file.) [0] =>Rogue.RegistryPowerCleaner

O42 - Logiciel: Boxore Client - (.Boxore OU.) [HKLM] -- {F4BC3FEB-3E1D-462D-99C1-1D521F2D9BCD} =>Adware.Boxore

O42 - Logiciel: Iminent - (.Iminent.) [HKLM] -- {5CDCDBCD-119A-4AE1-9C55-B816DBBE4245} =>Adware.IMBooster

O42 - Logiciel: Wsys Control 1.0.0.2557 - (.Wsys Co., Ltd..) [HKLM] -- WsysControl =>PUP.eSafeSecurity

O42 - Logiciel: startertv_fr_7 - (.StarterTV.) [HKLM] -- startertv_fr_7_is1 =>Adware.StarterTV

[HKCU\Software\AppDataLow\Software\Lyrics_Monkey] =>Adware.AddLyrics

[HKCU\Software\AppDataLow\Software\mediabarbs]

[HKCU\Software\AppDataLow\Software\mediabarim]

[HKCU\Software\BearShare]

[HKCU\Software\DealPlyLive]

[HKCU\Software\Live-Player]

[HKCU\Software\TutoTag]

[HKCU\Software\Tutorials]

[HKLM\Software\BearShareMediabarTb]

[HKLM\Software\DealPlyLive]

[HKLM\Software\Live-Player]

[HKLM\Software\Savings Wave Plugin]

[HKLM\Software\StarterTV]

[HKLM\Software\Tutorials]

[HKLM\Software\eSafeSecControl]

[HKLM\Software\iMeshMediabarTb]

O43 - CFD: 12/03/2012 - 18:34:50 - [7,363] ----D C:\Program Files\BearShare Applications

O43 - CFD: 26/07/2013 - 11:14:42 - [0] ----D C:\Program Files\majtuto4pc_fr_a1

O43 - CFD: 26/07/2013 - 11:14:50 - [4,484] ----D C:\Program Files\startertv_fr_7

O43 - CFD: 26/07/2013 - 11:14:52 - [0,000] ----D C:\Users\Danny\AppData\Local\eorezo

O43 - CFD: 29/07/2013 - 15:58:46 - [7,288] ----D C:\Users\Danny\AppData\Local\startertv_fr_5

O43 - CFD: 26/07/2013 - 11:14:52 - [2,914] ----D C:\Users\Danny\AppData\Local\startertv_fr_7

O45 - LFCP:[MD5.CE01DAAA61E2FED433444D2B3F66DB9E] - 25/07/2013 - 23:04:39 ---A- - C:\Windows\Prefetch\DEALPLYLIVE.EXE-BF809A22.pf

O45 - LFCP:[MD5.C2C55F6CDC60F73EF9936806750DA3A1] - 26/07/2013 - 10:14:48 ---A- - C:\Windows\Prefetch\SETUP_STARTERTV_FR_A1.EXE-C9330E99.pf

O45 - LFCP:[MD5.9163685BBA3ADCE9062DCC69A3DD8E63] - 26/07/2013 - 10:14:48 ---A- - C:\Windows\Prefetch\SETUP_STARTERTV_FR_A1.TMP-A7DA2D45.pf

O45 - LFCP:[MD5.3B131FEC65C721E61C89AA0A0BAE54C5] - 26/07/2013 - 10:15:01 ---A- - C:\Windows\Prefetch\STARTERTV_FR_7.EXE-497060F9.pf

O61 - LFC: 26/07/2013 - 10:14:39 ---A- C:\Users\Danny\AppData\Local\startertv_fr_5\Download\setup_startertv_fr_a1.exe [4484984]

O61 - LFC: 29/07/2013 - 14:55:49 ---A- C:\Users\Danny\AppData\Local\eorezo\eorezo\1.10\eorezo.cyl [131]

O61 - LFC: 29/07/2013 - 14:58:46 ---A- C:\Users\Danny\AppData\Local\startertv_fr_5\upstv_fr_5.cyp [768]

O69 - SBI: SearchScopes [HKCU] {B3B3A6AC-74EC-BD56-BCDB-EFA4799FB9DF} - (Mysearchdial) - Mysearchdial Search

O87 - FAEL: "{9602A6F6-49E7-4441-A308-66C8224AB59B}" | In - Public - P6 - TRUE | .(.Visicom Media Inc. - DTX broker.) -- C:\Program Files\BearShare Applications\MediaBar\Datamngr\ToolBar\dtUser.exe

O87 - FAEL: "{6292750B-BAD0-4C9E-9269-43A7010B867F}" | In - Public - P17 - TRUE | .(.Visicom Media Inc. - DTX broker.) -- C:\Program Files\BearShare Applications\MediaBar\Datamngr\ToolBar\dtUser.exe

O87 - FAEL: "{10F1F22A-F1BC-4BC0-B91E-72C0FF0E8569}" | In - Public - P6 - TRUE | .(.Wsys Co., Ltd. - Wsys Control 1.0.0.2557.) -- C:\ProgramData\eSafe\eGdpSvc.exe

O90 - PUC: "BEF3CB4FD1E3D264991CD125F1D2B9DC" . (.Boxore Client.) -- C:\Windows\Installer\{F4BC3FEB-3E1D-462D-99C1-1D521F2D9BCD}\boxore.ico

O90 - PUC: "DCBDCDC5A9111EA4C9558B61BDEB2454" . (.Iminent.) -- C:\Windows\Installer\{5CDCDBCD-119A-4AE1-9C55-B816DBBE4245}\imbooster.ico

SR - | Auto 3055104 | (supstv_fr_7) . (...) - C:\Users\Danny\AppData\Local\startertv_fr_7\supstv_fr_7.exe

SR - | Auto 20/07/2013 376896 | (WsysSvc) . (.Wsys Co., Ltd..) - C:\ProgramData\eSafe\eGdpSvc.exe

[HKLM\Software\Google\Chrome\Extensions\pflphaooapbgpeakohlggbpidpppgdff]

[HKLM\SYSTEM\CurrentControlSet\Services\supstv_fr_7]

[HKLM\SYSTEM\CurrentControlSet\Services\WsysSvc]

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Advanced System Protector_startup]

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DealPlyLiveUpdateTaskMachineCore]

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DealPlyLiveUpdateTaskMachineUA]

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\DealPlyUpdate]

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Desk 365 RunAsStdUser]

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\EPUpdater]

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{F4BC3FEB-3E1D-462D-99C1-1D521F2D9BCD}]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5CDCDBCD-119A-4AE1-9C55-B816DBBE4245}]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\WsysControl]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\startertv_fr_7_is1]

[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Live-Player]

[HKLM\Software\iMeshMediabarTB]

[HKCU\Software\live-player]

[HKLM\Software\live-player]

[HKCU\Software\Tutorials]

[HKLM\Software\Tutorials]

[HKCU\Software\AppDataLow\Software\mediabarim]

[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\desksvc]

[HKLM\Software\eSafeSecControl]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\464AA55239C100F32AF2D438EDDC0F47]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5652BA3D5FB98AE31B337BF0AF939856]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\86EB95E1AFCBABE3DB9ECCC669B99494]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{938958E8-355C-49FF-92B0-53C1B87ACEA9}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{66F57190-01EB-45A6-8260-7895267209F7}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{66F57190-01EB-45A6-8260-7895267209F7}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{610AF794-9293-4129-9FAF-A81BBDFBFA14}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{610AF794-9293-4129-9FAF-A81BBDFBFA14}]

[HKLM\Software\StarterTV]

[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WsysSvc] =>PUP.eSafeSecurity

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AAC05EAA51DC78A41A1DCE3B31038584]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536]

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:startertv_fr_7

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]:upstv_fr_5.exe

C:\Program Files\BearShare Applications

C:\Program Files\majtuto4pc_fr_a1

C:\Program Files\startertv_fr_7

C:\Users\Danny\AppData\Local\eorezo

C:\Users\Danny\AppData\Local\startertv_fr_5

C:\Users\Danny\AppData\Local\startertv_fr_7

C:\Users\Danny\AppData\Local\EoRezo

C:\Users\Danny\AppData\Local\Software

C:\Users\Danny\AppData\LocalLow\wincorebsband

C:\Users\Danny\AppData\LocalLow\mediabarbs

C:\Users\Danny\AppData\LocalLow\wincoreimband

C:\Users\Danny\AppData\Local\startertv_fr_5\upstv_fr_5.exe

C:\Program Files\startertv_fr_7\startertv_fr_7.exe

C:\ProgramData\eSafe\eGdpSvc.exe

C:\Users\Danny\AppData\Local\startertv_fr_7\supstv_fr_7.exe

C:\Users\Danny\AppData\Local\Google\Chrome\User Data\Default\Extensions\pflphaooapbgpeakohlggbpidpppgdff

C:\Users\Danny\AppData\Roaming\Mozilla\Firefox\Profiles\9lc1fxyf.default\searchplugins\YouGoo.xml

C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineCore.job

C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineUA.job

[HKCU\Software\AppDataLow\Software\Lyrics_Monkey]

[HKCU\Software\BearShare]

[HKCU\Software\DealPlyLive]

[HKCU\Software\TutoTag]

[HKCU\Software\Tutorials]

[HKLM\Software\BearShareMediabarTb]

[HKLM\Software\DealPlyLive]

[HKLM\Software\Savings Wave Plugin]

[HKLM\Software\StarterTV]

[HKLM\Software\Tutorials]

[HKLM\Software\eSafeSecControl]

[HKLM\Software\iMeshMediabarTb]

C:\Windows\Prefetch\DEALPLYLIVE.EXE-BF809A22.pf

C:\Windows\Prefetch\SETUP_STARTERTV_FR_A1.EXE-C9330E99.pf

C:\Windows\Prefetch\SETUP_STARTERTV_FR_A1.TMP-A7DA2D45.pf

C:\Windows\Prefetch\STARTERTV_FR_7.EXE-497060F9.pf

C:\Users\Danny\AppData\Local\startertv_fr_5\Download\setup_startertv_fr_a1.exe [4484984]

C:\Users\Danny\AppData\Local\eorezo\eorezo\1.10\eorezo.cyl [131]

C:\Users\Danny\AppData\Local\startertv_fr_5\upstv_fr_5.cyp [768]

C:\Program Files\BearShare Applications\MediaBar\Datamngr\ToolBar\dtUser.exe

C:\Windows\Installer\{F4BC3FEB-3E1D-462D-99C1-1D521F2D9BCD}\boxore.ico

C:\Windows\Installer\{5CDCDBCD-119A-4AE1-9C55-B816DBBE4245}\imbooster.ico

firewallraz

emptytemp

emptyflash

HostFix

 

• Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le. (avec le bouton "coller le presse-papier)
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

-----------------------------------

Télécharge Junkware Removal Tool sur le bureau: Junkware Removal Tool Download

 

Site éditeur: Junkware Removal Tool | Information about the tool

 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

 

Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

 

Afin de ne pas fausser les rapports, ne passer l'outil qu'une seule fois svp!

 

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

Poste le rapport généré à la fin de l'analyse.

 

NB: Le bureau disparaitra un instant, c'est normal.

 

>>>Si le rapport est long, l'héberger ici: Accueil de Cjoint.com

 

 

 

[chriflojoca]

Bonsoir,

 

 

 

Poste les rapports stp.

 

Je regarde le rapport ZHPD

 

++

 

Bonsoir,

 

Voici les rapports ADWCLEANER et MBAM

 

En attendant j'effectue la procédure ZHPFix.

 

A+

[Apollo]

Utilise le bouton "ajouter une réponse" stp, je n'ai pas besoin de me relire.

 

@++

[chriflojoca]

Voici le rapport ZHPFix

 

A+

[Apollo]

Le fichier Hosts n'est pas réparé, veuillez désactiver votre antivirus.

 

On utilisera autre chose. http://support.microsoft.com/kb/972034/fr Utilise le Fix Microsoft.

 

En attente du rapport JRT.

 

@++

Modifié le 29 juillet 2013 par Apollo

[chriflojoca]

Et voici le rapport JRT

 

Merci encore pour ton aide

 

A+

[Apollo]

J'ai édité mon post précédent, utilise le Fix pour restaurer le Hosts.

 

Fais ensuite un nouveau scan ZHPDiag stp.

 

@++

[chriflojoca]

J'ai effectué la procécédure automatique en cliquant sur le bouton "Fix it" mais j'ai eu un message d'erreur, alors j'ai appliqué la procédure manuelle décrite en dessous. Je ne sais pas si ça a fonctionné. Voici le nouveau rapport ZHPDiag.

A+