[Résolu] Rapport ComboFix à analyser

[mehdibleu]

Bonjour,

je crois que j'ai été victime de malwares ou virus qui ne cessent de me bouffer de l'espace disque sans que je ne fasse rien sur le pc.

j'avais auparavant utilisé plusieurs programmes dont malwarebytes, roguekiller, usbfix, adwcleaner, AVG 2014 jusqu'a ce que je finisse par utiliser combofix qui me paraissait l'etape ultime pour essayer d'eliminer les infections.

je vous poste le rapport combofix : http://cjoint.com/?CIyavdtONh9

en esperant que qqn puisse y jeter un oeil pour voir s'il reste encore des infections qu'il pourrait analyser et me dire eventuellement ce que je devrai faire ensuite pour eradiquer le probleme une fois pour toutes.

merci d'avance.

Modifié le 7 octobre 2013 par mehdibleu

[pear]

Bonjour,

 

ComboFix, Nettoyage
Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)si ce n'est déjà fait
Connecter tous les disques amovibles (disque dur externe, clé USB…).
Dans certaines circonstances , le Mode sans échec peut être nécessaire
Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

# Dans le bloc-note ,copiez-collez ces lignes :
KillAll::
Firefox::
FF - ProfilePath - c:\users\Mehdi\AppData\Roaming\Mozilla\Firefox\Profiles\pbkfrago.default\
FF -: prefs.js: browser.search.selectedEngine -
FF -: prefs.js: keyword.URL -

Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !
Enregistrez-le en lui donnant le nom CFScript.txt

Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe


Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.
Patienter le temps du scan.
Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne toucher à rien tant que le scan n'est pas terminé.

Le rapport de ComboFix ne s'affichera qu'à la fin
Poster son contenu.
Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt



Combofix est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.
Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous avez chargée sera obsolète dans quelques jours.
Pour supprimer Combofix:
Démarrer > Exécuter ->
Copier/coller:
"%userprofile%\Bureau\ComboFix.exe" /uninstall
En cas d'échec:
Renommer ComboFix.exe qui est sur votre bureau -> Uninstall.exe et double cliquez dessus.

Supprimez C:\qoobox si vous le trouvez

[mehdibleu]

désolé du retard, j'avais un pb de connxion.

 

voici le nouveau rapport combofix : http://cjoint.com/?CJfoZ3IYrHN

 

je crois que jai commis une erreur c'est que l'antivirus AVG s'est réactivé au demarrage lorsque l'analyse de combofic continuait de s'executer du coup maintenant j'ai le centre de securité qui ne veut plus demarrer et qui n'est pas present non plus dans services.msc.

 

pouvez vous m'aider a regler ce probleme.merci.

sinon le rapport combofix est il clean ? je tiens a signaler que je n'ai plus cette perte d'espace disque depuis mnt une semaine et qui se produisait sans raison.

[pear]

1)Télécharger Farbar Service Scanner sur le bureau
Lancez-le en tant qu'administrateur
Cochez toutes les cases proposées

Cliquez sur Scan
Copiez/collez le contenu du rapport FSS.txt



2)Téléchargez Services Repair
de Eset sur le Bureau
Fermez toutes les applications, y compris le navigateur
Double-clique sur ServicesRepair.exe pour lancer l'application
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Valider par Yes pour confirmer le lancement de l'outil
Laissez l'outil travailler (cela peut prendre quelques minutes)
Valider par Yes pour redémarrer le PC
Au redémarrage, le dossier CC Support a été crée sur le bureau
Postez le rapport SvcRepair.txt, qui se trouve dans CC Support\Logs dans la prochaine réponse

[mehdibleu]

merci mais j'ai su résoudre le probleme en restaurant le systeme a une date anterieure.

 

donc je n'ai pas eu le temps de faire la manip proposée, mais je l'effectuerai si jamais le probleme revient.

 

sinon pour le nouveau rapport combofix, rien a signaler le concernant ? il est clean ?

[pear]

Oui

.Désinstallez le

[mehdibleu]

je ne peux le desinstaller puisqu'apres avoir effectué la restauration systeme a une date anterieure celui ci ne se trouve plus sur le bureau, c'est assez logique puisque le systeme a été restauré donc forcement il n'est plus sur le bureau.

 

j'aurais une question, maintenant que mon pc a été restauré a une date anterieure, est ce que cela veut dire qu'il a été restauré a la date ou le pc etait encore infecté et du coup toutes les infections supprimées auparavant vont faire leur réapparition ou bien la restauration systeme n'affecte en rien la reapparition des infections deja supprimées ? merci.

Modifié le 5 octobre 2013 par mehdibleu

[pear]

Si à la date de la restauration il y avait des infections, elle sont maintenant actives..

 

Si vous voulez le vérifier,Lancez cet outil de diagnostic:

Téchargement de Zhpdiag
Autre lien en cas de défaiillance du précédent

Double-cliquer sur ZHPDiag.exe pour installer l'outil
Il devrait y avoir 2 icônes sur le bureau ou dans le fichier d'installation de Zhpdiag.

Sous XP, double clic sur l'icône ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur


Cliquer Configurer

Cliquez sur le bouton

et choisissez Tous
Pour éviter un blocage , Décochez 045 et 061
Cliquer Rechercher
Le rapport ZhpDiag.txt apparait sur le bureau


Comment poster les rapports
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le bureau
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

[mehdibleu]

je pense qu'il n 'y avait plus d'infections a la date de restauration, je pense a voir supprimé toutes les infections avant d'avoir procedé a la creation d'un point de restauration manuel.

 

voici le rapport ZHPDiag : http://cjoint.com/?CJftgDMLSea

 

pouvez vous vs en assurer ? merci.

[pear]

Voici ce que trouve Zhpdiag.

 

---\\ Enumère les fichiers Crack & Keygen (CKF) (O82)
C:\Users\Mehdi\Downloads\ConvexSoft.Audio.Converter.v2.3\ConvexSoft.Audio.Converter.v2.3.Keygen\AudioConverterSetup.exe
C:\Users\Mehdi\Downloads\eMule\Incoming\TwonkyMedia.Server.v5.0.46.cracked-THETA\TwonkyMedia.Server.v5.0.46.cracked-THETA\twoms1-t\TwonkyMedia Server v5.0.46\Crack\TwonkyMediaServer.exe
C:\Users\Mehdi\Downloads\eMule\Incoming\TwonkyMedia.Server.v5.0.46.cracked-THETA\TwonkyMedia.Server.v5.0.46.cracked-THETA\twoms1-t\TwonkyMedia Server v5.0.46\TwonkyMediaSetup0801.exe
C:\Users\Mehdi\Downloads\ConvexSoft.Audio.Converter.v2.3\ConvexSoft.Audio.Converter.v2.3.Keygen\AudioConverterSetup.exe
C:\Users\Mehdi\Downloads\eMule\Incoming\TwonkyMedia.Server.v5.0.46.cracked-THETA\TwonkyMedia.Server.v5.0.46.cracked-THETA\twoms1-t\TwonkyMedia Server v5.0.46\Crack\TwonkyMediaServer.exe
C:\Users\Mehdi\Downloads\eMule\Incoming\TwonkyMedia.Server.v5.0.46.cracked-THETA\TwonkyMedia.Server.v5.0.46.cracked-THETA\twoms1-t\TwonkyMedia Server v5.0.46\TwonkyMediaSetup0801.exe
D:\Documents and Settings\Mehdi\Bureau\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\Runtime.GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\keygen\Keygen.exe
D:\Documents and Settings\Mehdi\Bureau\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\Runtime.GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\setup\gdbnt\Setup.exe
D:\Documents and Settings\Mehdi\Bureau\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\Runtime.GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\setup\gdbnt.zip
D:\Documents and Settings\Mehdi\Bureau\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd.rar
D:\utilitaires\Astuces\Astuces\ASTUCE Cracker un reseau Wi Fi sans la cle Wep.rar
D:\utilitaires\AVS.Video.ReMaker.v4.0.1.125.Cracked-F4CG\AVS.Video.ReMaker.v4.0.1.125.Cracked-F4CG\f4nbek01\f4cg\crack\AVSVideoReMaker.exe
D:\utilitaires\AVS.Video.ReMaker.v4.0.1.125.Cracked-F4CG\AVS.Video.ReMaker.v4.0.1.125.Cracked-F4CG\f4nbek01\f4cg\crack.zip
D:\utilitaires\AVS.Video.ReMaker.v4.0.1.125.Cracked-F4CG\AVS.Video.ReMaker.v4.0.1.125.Cracked-F4CG\f4nbek01\f4cg\setup.exe
D:\utilitaires\AVS.Video.ReMaker.v4.0.1.125.Cracked-F4CG\AVS.Video.ReMaker.v4.0.1.125.Cracked-F4CG.rar
D:\utilitaires\Driver.Genius.Professional.v11.0.0.1112.Multilingual.Cracked\drvgenpro.exe
D:\utilitaires\Driver.Genius.Professional.v11.0.0.1112.Multilingual.Cracked-FFF\Crack\DriverGenius.exe
D:\utilitaires\Driver.Genius.Professional.v11.0.0.1112.Multilingual.Cracked-FFF\drvgenpro.exe
D:\utilitaires\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\Runtime.GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\keygen\Keygen.exe
D:\utilitaires\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\Runtime.GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\setup\gdbnt\Setup.exe
D:\utilitaires\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\Runtime.GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\setup\gdbnt.zip
D:\utilitaires\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd.rar
D:\utilitaires\Jaksta_Streaming_Media_Recorder_4.0.12\Jaksta Streaming Media Recorder 4.0.12\x64\keygen\kg.exe
D:\utilitaires\Jaksta_Streaming_Media_Recorder_4.0.12\Jaksta Streaming Media Recorder 4.0.12\x86\keygen\kg.exe
D:\utilitaires\PdfGrabber.v6.0.0.2.Professional.Multilanguage.CRACKED-F4CG\PdfGrabber.v6.0.0.2.Professional.Multilanguage.CRACKED-F4CG\f4pdfg6a.zip
D:\utilitaires\PdfGrabber.v6.0.0.2.Professional.Multilanguage.CRACKED-F4CG\PdfGrabber.v6.0.0.2.Professional.Multilanguage.CRACKED-F4CG\f4pdfg6b.zip
D:\utilitaires\PdfGrabber.v6.0.0.2.Professional.Multilanguage.CRACKED-F4CG\PdfGrabber.v6.0.0.2.Professional.Multilanguage.CRACKED-F4CG\f4pdfg6c.zip
D:\utilitaires\PdfGrabber.v6.0.0.2.Professional.Multilanguage.CRACKED-F4CG\PdfGrabber.v6.0.0.2.Professional.Multilanguage.CRACKED-F4CG\f4pdfg6d.zip
D:\utilitaires\RealVNC_Enterprise_4.5.4\RealVNC Enterprise 4.5.4\ZWT\Keygen.exe
D:\utilitaires\SlySoft_CloneCD_5.3.1.4\SlySoft CloneCD 5.3.1.4\CORE\keygen.exe
D:\utilitaires\VMW_WS_8.0.0.471780\VMW_WS_8.0.0.471780\ZwT\ZwT\keygen.exe
D:\utilitaires\Xilisoft.Video.Converter.Platinum.v7.0.1.1221.Incl.Keygen-Lz0\Xilisoft.Video.Converter.Platinum.v7.0.1.1221.Incl.Keygen-Lz0\Lz0\Keygen.exe
D:\utilitaires\Xilisoft.Video.Converter.Platinum.v7.0.1.1221.Incl.Keygen-Lz0\Xilisoft.Video.Converter.Platinum.v7.0.1.1221.Incl.Keygen-Lz0\x-video-converter-platinum7.exe
[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv] =>Toolbar.Agent

 

 

Sivous voulez corriger:

 

Vous devez trouver les 2 icônes Zhpdiag, Zhpfix. sur le bureau

ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)
Cliquer sur l'icône Zhpfix
Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Cliquer Importer
pour inscrire le texte dans la fenêrtre vide qui s'ouvre

[

Script Zhpfix

C:\Users\Mehdi\Downloads\ConvexSoft.Audio.Converter.v2.3\ConvexSoft.Audio.Converter.v2.3.Keygen\AudioConverterSetup.exe
C:\Users\Mehdi\Downloads\eMule\Incoming\TwonkyMedia.Server.v5.0.46.cracked-THETA\TwonkyMedia.Server.v5.0.46.cracked-THETA\twoms1-t\TwonkyMedia Server v5.0.46\Crack\TwonkyMediaServer.exe
C:\Users\Mehdi\Downloads\eMule\Incoming\TwonkyMedia.Server.v5.0.46.cracked-THETA\TwonkyMedia.Server.v5.0.46.cracked-THETA\twoms1-t\TwonkyMedia Server v5.0.46\TwonkyMediaSetup0801.exe
C:\Users\Mehdi\Downloads\ConvexSoft.Audio.Converter.v2.3\ConvexSoft.Audio.Converter.v2.3.Keygen\AudioConverterSetup.exe
C:\Users\Mehdi\Downloads\eMule\Incoming\TwonkyMedia.Server.v5.0.46.cracked-THETA\TwonkyMedia.Server.v5.0.46.cracked-THETA\twoms1-t\TwonkyMedia Server v5.0.46\Crack\TwonkyMediaServer.exe
C:\Users\Mehdi\Downloads\eMule\Incoming\TwonkyMedia.Server.v5.0.46.cracked-THETA\TwonkyMedia.Server.v5.0.46.cracked-THETA\twoms1-t\TwonkyMedia Server v5.0.46\TwonkyMediaSetup0801.exe
D:\Documents and Settings\Mehdi\Bureau\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\Runtime.GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\keygen\Keygen.exe
D:\Documents and Settings\Mehdi\Bureau\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\Runtime.GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\setup\gdbnt\Setup.exe
D:\Documents and Settings\Mehdi\Bureau\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\Runtime.GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\setup\gdbnt.zip
D:\Documents and Settings\Mehdi\Bureau\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd.rar
D:\utilitaires\Astuces\Astuces\ASTUCE Cracker un reseau Wi Fi sans la cle Wep.rar
D:\utilitaires\AVS.Video.ReMaker.v4.0.1.125.Cracked-F4CG\AVS.Video.ReMaker.v4.0.1.125.Cracked-F4CG\f4nbek01\f4cg\crack\AVSVideoReMaker.exe
D:\utilitaires\AVS.Video.ReMaker.v4.0.1.125.Cracked-F4CG\AVS.Video.ReMaker.v4.0.1.125.Cracked-F4CG\f4nbek01\f4cg\crack.zip
D:\utilitaires\AVS.Video.ReMaker.v4.0.1.125.Cracked-F4CG\AVS.Video.ReMaker.v4.0.1.125.Cracked-F4CG\f4nbek01\f4cg\setup.exe
D:\utilitaires\AVS.Video.ReMaker.v4.0.1.125.Cracked-F4CG\AVS.Video.ReMaker.v4.0.1.125.Cracked-F4CG.rar
D:\utilitaires\Driver.Genius.Professional.v11.0.0.1112.Multilingual.Cracked\drvgenpro.exe
D:\utilitaires\Driver.Genius.Professional.v11.0.0.1112.Multilingual.Cracked-FFF\Crack\DriverGenius.exe
D:\utilitaires\Driver.Genius.Professional.v11.0.0.1112.Multilingual.Cracked-FFF\drvgenpro.exe
D:\utilitaires\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\Runtime.GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\keygen\Keygen.exe
D:\utilitaires\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\Runtime.GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\setup\gdbnt\Setup.exe
D:\utilitaires\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\Runtime.GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd\setup\gdbnt.zip
D:\utilitaires\GetDataBack.for.NTFS-v3.40.Inc.Keygen-brd.rar
D:\utilitaires\Jaksta_Streaming_Media_Recorder_4.0.12\Jaksta Streaming Media Recorder 4.0.12\x64\keygen\kg.exe
D:\utilitaires\Jaksta_Streaming_Media_Recorder_4.0.12\Jaksta Streaming Media Recorder 4.0.12\x86\keygen\kg.exe
D:\utilitaires\PdfGrabber.v6.0.0.2.Professional.Multilanguage.CRACKED-F4CG\PdfGrabber.v6.0.0.2.Professional.Multilanguage.CRACKED-F4CG\f4pdfg6a.zip
D:\utilitaires\PdfGrabber.v6.0.0.2.Professional.Multilanguage.CRACKED-F4CG\PdfGrabber.v6.0.0.2.Professional.Multilanguage.CRACKED-F4CG\f4pdfg6b.zip
D:\utilitaires\PdfGrabber.v6.0.0.2.Professional.Multilanguage.CRACKED-F4CG\PdfGrabber.v6.0.0.2.Professional.Multilanguage.CRACKED-F4CG\f4pdfg6c.zip
D:\utilitaires\PdfGrabber.v6.0.0.2.Professional.Multilanguage.CRACKED-F4CG\PdfGrabber.v6.0.0.2.Professional.Multilanguage.CRACKED-F4CG\f4pdfg6d.zip
D:\utilitaires\RealVNC_Enterprise_4.5.4\RealVNC Enterprise 4.5.4\ZWT\Keygen.exe
D:\utilitaires\SlySoft_CloneCD_5.3.1.4\SlySoft CloneCD 5.3.1.4\CORE\keygen.exe
D:\utilitaires\VMW_WS_8.0.0.471780\VMW_WS_8.0.0.471780\ZwT\ZwT\keygen.exe
D:\utilitaires\Xilisoft.Video.Converter.Platinum.v7.0.1.1221.Incl.Keygen-Lz0\Xilisoft.Video.Converter.Platinum.v7.0.1.1221.Incl.Keygen-Lz0\Lz0\Keygen.exe
D:\utilitaires\Xilisoft.Video.Converter.Platinum.v7.0.1.1221.Incl.Keygen-Lz0\Xilisoft.Video.Converter.Platinum.v7.0.1.1221.Incl.Keygen-Lz0\x-video-converter-platinum7.exe
[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv] =>Toolbar.Agent

EmptyTemp
EmptyClsid
Hostfix
Proxyfix
FirewallRaz
SysRestore



Cliquer sur "Go" en bas, à gauche

Redémarrer pour achever le nettoyage.

Copier-coller,dans la réponse, le contenu du rapport ZHPFixReport.txt qui s'affiche .
Si besoin; il est enregistré sous C:\ZHP\ZHPFixReport.txt

Modifié le 6 octobre 2013 par pear