Vous pensez être infecté, des pubs s'affichent quand vous naviguez sur internet ?
Perte de données, ralentissement système, virus USB ?
Désinfectez votre ordinateur gratuitement !
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par guiguit85
#1711
Bonjour ,

J'ai téléchargé et lancé le logiciel UsbFix de El Desaparecido & C après avoir été infecté par le virus ainslot AB ver. A priori plus de traces, mais je viens sur le forum pour en être sure. il me semble que je n'ai pas terminé le processus de désinfection. Le pc n'avait plus d‚icônes sur le bureau pendant environ 20 minutes , j'ai donc fermé et redémarré le pc . Pouvez vous m'aider à  vérifier si le pc est désinfecté , merci.
Avatar du membre
par guiguit85
#1716
Code: Tout sélectionner
############################## | UsbFix V 7.115 | [Recherche]

Utilisateur: thierry (Administrateur) # THIERRY-PC
Mis à  jour le 08/03/2013 par El Desaparecido
Lancé à  20:06:26 | 11/03/2013

Site Web: http://sosvirus.org/index.php" onclick="window.open(this.href);return false;
Contact: contact@sosvirus.org

PC: System manufacturer (P5E) (X86-based PC)
CPU: Intel(R) Core(TM)2 Quad CPU Q9300 @ 2.50GHz (2497)
RAM -> [Total : 2047 | Free : 1292]
BIOS: BIOS Date: 04/07/08 12:00:50 Ver: 08.00.12
BOOT: Normal boot

OS: Microsoft Windows 7 à‰dition Intégrale (6.1.7601 32-Bit) # Service Pack 1
WB: Windows Internet Explorer 9.0.8112.16421

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: ESET NOD32 Antivirus 5.0 [Enabled | Updated]
FW: Windows FireWall Service [(!) Disabled]

C:\ (%systemdrive%) -> Disque fixe # 75 Go (11 Go libre(s) - 15%) [] # NTFS
D:\ -> Disque fixe # 298 Go (43 Go libre(s) - 14%) [Disque Dur] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> CD-ROM
L:\ -> Disque fixe # 466 Go (79 Go libre(s) - 17%) [ESSENTIELB] # NTFS

################## | Processus Actif |

C:\Windows\system32\csrss.exe (372)
C:\Windows\system32\wininit.exe (440)
C:\Windows\system32\csrss.exe (448)
C:\Windows\system32\services.exe (488)
C:\Windows\system32\lsass.exe (500)
C:\Windows\system32\lsm.exe (512)
C:\Windows\system32\svchost.exe (624)
C:\Windows\system32\svchost.exe (696)
C:\Windows\system32\atiesrxx.exe (756)
C:\Windows\system32\winlogon.exe (804)
C:\Windows\System32\svchost.exe (844)
C:\Windows\System32\svchost.exe (884)
C:\Windows\system32\svchost.exe (924)
C:\Windows\system32\svchost.exe (956)
C:\Windows\system32\atieclxx.exe (1260)
C:\Windows\System32\spoolsv.exe (1336)
C:\Windows\system32\svchost.exe (1376)
C:\Windows\System32\svchost.exe (1480)
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (1524)
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe (1564)
C:\Windows\system32\FsUsbExService.Exe (1620)
C:\Windows\system32\Dwm.exe (1876)
C:\Windows\Explorer.EXE (1900)
C:\Windows\system32\svchost.exe (1140)
C:\Windows\system32\svchost.exe (1728)
C:\Program Files\DAEMON Tools Lite\DTLite.exe (2180)
C:\Program Files\Windows Sidebar\sidebar.exe (2188)
C:\Program Files\Samsung\Kies\KiesTrayAgent.exe (2200)
C:\Program Files\Samsung\Kies\Kies.exe (2296)
C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe (2428)
C:\Users\thierry\AppData\Roaming\Microsoft\Windows\Templates\vmnethcp.exe (2544)
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe (2564)
C:\Program Files\Common Files\HP\Digital Imaging\Bin\hpqPhotoCrm.exe (3200)
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe (2052)
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe (2668)
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe (2980)
C:\Windows\system32\svchost.exe (3884)
C:\Program Files\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware_main.exe (3708)
C:\Program Files\Google\Chrome\Application\chrome.exe (1448)
C:\Program Files\Google\Chrome\Application\chrome.exe (3656)
C:\Program Files\Google\Chrome\Application\chrome.exe (3972)
C:\Program Files\Google\Chrome\Application\chrome.exe (3968)
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe (3776)
C:\Windows\system32\taskeng.exe (3144)
C:\Program Files\Google\Update\GoogleUpdate.exe (3440)
C:\UsbFix\Go.exe (1232)
C:\Windows\system32\wbem\wmiprvse.exe (2872)

################## | à‰léments infectieux |


################## | Registre |


################## | Mountpoints2 |



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F | http://sosvirus.org" onclick="window.open(this.href);return false; |
Avatar du membre
par H.A.W.X
#1717
Bonsoir,

Suis ceci pour faire une scan de vérification ;)
  • Double-clique sur ZHPDiag2.exe pour lancer l'installation.
  • Sous Windows Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
  • N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
Image
  • L'outil a créé 2 icônes ZHPDiag Image et ZHPFix. Image sur le Bureau.
  • Double-clique sur ZHPDiag pour lancer l'exécution.
  • Sous Windows Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
  • Clique sur la loupe Image pour lancer l'analyse.
  • Tu patientes jusqu'à  ce que le scan affiche 100%.
  • Le rapport est sauvegardé sur le bureau Image
  • Ferme ZHPDiag
  • Rends toi sur Pjjoint de Malekal en cliquant sur l'image ci-dessous :
Image
  • Clique sur Parcourir et cherche le rapport de ZHPDiag sur ton bureau.
  • Clique sur Envoyer le fichier.
Image
  • Tu obtiendras un message de confirmation avec un lien.
  • Transmet ce lien dans ta prochaine réponse.
Image

Bonne soirée ;)
Avatar du membre
par El Desaparecido
#1724
Hello,
  • Télécharge Malwarebytes' Anti-Malware et installe le.
  • Lance Malwarebytes' Anti-Malware.
  • Clique sur l'onglet "Mises à  jours" puis sur "Rechercher des mises à  jours".
  • Clique sur l'onglet "Recherche", coche "éxécuter un examen rapide" puis clic sur Rechercher.
A la fin de l'analyse, si MBAM n'a rien trouvé :
  • Clique sur OK, le rapport s'ouvre spontanément.
Si des menaces ont été détectées :
  • Clique sur OK puis "Afficher les résultats".
  • Choisis l'option "Supprimer la sélection".
  • Si MBAM demande le redémarrage de Windows : Clique sur "Oui".
  • Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs".
  • Sinon le rapport s'ouvre automatiquement après la suppression.
  • Post le rapport dans ta prochaine réponse.
Avatar du membre
par guiguit85
#1735
bonjour , merci pour l'aide apportée.
Code: Tout sélectionner
Malwarebytes Anti-Malware 1.70.0.1100
http://www.malwarebytes.org" onclick="window.open(this.href);return false;

Version de la base de données: v2013.03.12.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
thierry :: THIERRY-PC [administrateur]

12/03/2013 13:11:25
mbam-log-2013-03-12 (13-11-25).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 205364
Temps écoulé: 9 minute(s), 56 seconde(s)

Processus mémoire détecté(s): 1
C:\Users\thierry\AppData\Roaming\Microsoft\Windows\Templates\vmnethcp.exe (Trojan.Agent) -> 2544 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Microsoft Routing Utilities (Trojan.Agent) -> Données: C:\Users\thierry\AppData\Roaming\Microsoft\Windows\Templates\vmnethcp.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)


Fichier(s) détecté(s): 2
C:\Users\thierry\AppData\Roaming\Mining\miner.dll (PUP.BitCoinMiner) -> Mis en quarantaine et supprimé avec succès.
C:\Users\thierry\AppData\Roaming\Microsoft\Windows\Templates\vmnethcp.exe (Trojan.Agent) -> Suppression au redémarrage.

(fin)
Avatar du membre
par El Desaparecido
#1739
Comment va le PC ?

Image Suis cette procédure dans l'ordre indiqué :

Ce script va cibler certains éléments à  supprimer :

• Sélectionne et copie (clic droit "copier" ou ctrl+c) les lignes en gras ci-après situées entre les deux lignes :

_____________________________________________
Code : Tout sélectionner
R0 - HKCU\SOFTWARE\Classes\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.rpidity.com
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (.Adobe Systems Inc. - Adobe PDF Plug-In For Firefox and Netscape 10.1.6.) (No version) -- (.not file.)
O4 - HKCU\..\Run: [Microsoft Routing Utilities] C:\Users\thierry\AppData\Roaming\Microsoft\Windows\Templates\vmnethcp.exe (.not file.) 
O43 - CFD: 29/01/2013 - 18:59:06 - [0,007] ----D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
O44 - LFC:[MD5.EA649A169A5BEE0907DFF175318259DD] - 11/03/2013 - 20:11:17 ---A- . (...) -- C:\UsbFix [Scan 6] THIERRY-PC.txt   [3649]
O44 - LFC:[MD5.0BAC5A2E3C0EC8C1857E5D20BB3CAB9F] - 11/03/2013 - 16:41:06 ---A- . (...) -- C:\AdwCleaner[S2].txt   [1831]
O44 - LFC:[MD5.55542BA544101D38C1C6EB5C7ABFB372] - 11/03/2013 - 16:38:33 ---A- . (...) -- C:\UsbFix [Scan 5] THIERRY-PC.txt   [3707]
O44 - LFC:[MD5.216CF14DFEA1F77CFDD24C0483DF3758] - 11/03/2013 - 13:41:08 ---A- . (...) -- C:\AdwCleaner[S1].txt   [360]
O44 - LFC:[MD5.B50F27B2A3DAF4A8F9149DA3AB0027D0] - 11/03/2013 - 13:05:25 ---A- . (...) -- C:\UsbFix [Listing 1 ] THIERRY-PC.txt   [9083]
O44 - LFC:[MD5.E26720171979BEA59B4517519A327B17] - 11/03/2013 - 12:50:26 ---A- . (...) -- C:\UsbFix [Scan 4] THIERRY-PC.txt   [3918]
O44 - LFC:[MD5.082CED63FBA5DE8A3D2FB033EDFCCA54] - 11/03/2013 - 12:44:17 ---A- . (...) -- C:\UsbFix [Scan 3] THIERRY-PC.txt   [3728]
O44 - LFC:[MD5.9A6B0BA23D7C84073820ECE17F27A7F3] - 11/03/2013 - 12:33:00 ---A- . (...) -- C:\UsbFix [Clean 2] THIERRY-PC.txt   [11684]
O44 - LFC:[MD5.6788C819FE498F3D91AB9FAF1085DEC8] - 11/03/2013 - 12:30:00 ----- . (...) -- C:\UsbFix [Clean 1] THIERRY-PC.txt   [1058]
O44 - LFC:[MD5.E626DCB62295AB9E9CA4B9728B4B8DBD] - 11/03/2013 - 12:29:34 ----- . (...) -- C:\UsbFix [Scan 2] THIERRY-PC.txt   [4250]
O87 - FAEL: "{5058B876-AB40-42A9-82D2-9C6FB23CB4ED}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files\Microsoft Office\Office14\GROOVE.exe (.not file.)
O87 - FAEL: "{CA26849D-2509-4137-BDFC-1DFC3773DECB}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files\Microsoft Office\Office14\GROOVE.exe (.not file.)
O87 - FAEL: "{DA825BBB-ADED-41FB-A178-DDF95B389724}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files\Microsoft Office\Office14\ONENOTE.exe (.not file.)
O87 - FAEL: "{A78A6761-18E2-423E-87A0-017231D087FF}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files\Microsoft Office\Office14\ONENOTE.exe (.not file.)
O87 - FAEL: "{B06DAF1C-C5BD-4E1D-84CD-290F747BBAB6}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files\Microsoft Office\Office14\outlook.exe (.not file.)
[HKLM\Software\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib]
[HKLM\Software\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}]
[HKLM\Software\Classes\AppID\secman.DLL]
EmptyTemp
EmptyFlash
clsid
_____________________________________________

• Lance ZHPFix à  partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur)
• Clique sur l'icone représentant le presse-papier ("coller le presse-papier")

Image

Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v)

• Clique sur le bouton GO pour lancer le nettoyage
• Copie/colle la totalité du rapport dans ta prochaine réponse.

bien testes ton pc 2/3 jours si tu n'as plus de […]

Bonjour tu as ouvert un autre sujet dans la partie[…]

Bonjour pas de nouvelles depuis un mois et demi in[…]

Bonjour pas de nouvelles depuis un mois et demi in[…]